謝升旭，魏 偉，邢長友，張國敏

1.陸軍工程大學(xué) 指揮控制工程學(xué)院，南京 210007

2.中國人民解放軍31106部隊(duì)

1 引言

低速率拒絕服務(wù)攻擊（Low rate Denial of Service，LDoS）利用網(wǎng)絡(luò)協(xié)議中自適應(yīng)機(jī)制所存在的安全漏洞，通過發(fā)送周期性的短脈沖數(shù)據(jù)流，使網(wǎng)絡(luò)一直處于不穩(wěn)定狀態(tài)，對網(wǎng)絡(luò)的正常運(yùn)行具有重要影響[1]。其低速率的特性，能夠?qū)⒐袅髁侩[藏在正常流量之中，使得攻擊具有較強(qiáng)的破壞性而且難以檢測。從2003年Kuzmanovic等人在SIGCOMM會(huì)議上提出低速率拒絕服務(wù)攻擊[2]以來，已經(jīng)報(bào)告了多種低速率拒絕服務(wù)攻擊[3]。

自從McKeown 等人正式提出了軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）的概念[4]之后，SDN得到了廣泛的關(guān)注。經(jīng)過十多年的研究，SDN架構(gòu)逐漸完善，并出現(xiàn)了多個(gè)成功的典型商業(yè)應(yīng)用，如谷歌的B4網(wǎng)絡(luò)項(xiàng)目[5]、Facebook的OCP項(xiàng)目[6]等。盡管如此，SDN架構(gòu)自身的安全性仍然面臨著巨大的考驗(yàn)，應(yīng)用平面、控制平面、數(shù)據(jù)平面以及安全通道都是網(wǎng)絡(luò)攻擊者潛在的攻擊目標(biāo)[7]。其中，面向SDN架構(gòu)的傳統(tǒng)分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊得到了廣泛關(guān)注，大量研究人員致力于通過SDN架構(gòu)的優(yōu)勢，研究有效的檢測和防御措施，如AVANT-GUARD[8]、FloodGuard[9]等。

除傳統(tǒng)DDoS 攻擊外，LDoS 攻擊對SDN 的性能同樣具有重要威脅。然而，目前SDN環(huán)境下的LDoS攻擊防御技術(shù)研究仍主要關(guān)注于傳統(tǒng)攻擊行為在SDN環(huán)境中的應(yīng)用。這些研究通過利用SDN架構(gòu)靈活的網(wǎng)絡(luò)流量采集能力，對面向端系統(tǒng)的LDoS 攻擊行為進(jìn)行檢測和防御。本文研究分析了SDN控制器中拓?fù)浒l(fā)現(xiàn)機(jī)制的缺陷及面臨的LDoS 攻擊威脅，并提出了相應(yīng)的檢測和防御措施。在SDN 控制器的拓?fù)浒l(fā)現(xiàn)機(jī)制中，控制器周期性地向所有相連接的OpenFlow交換機(jī)下發(fā)封裝有鏈路層發(fā)現(xiàn)協(xié)議（Link Layer Discovery Protocol，LLDP）幀的packet_out 消息，并通過相鄰兩交換機(jī)之間的鏈路傳遞LLDP幀來確認(rèn)鏈路信息，進(jìn)而獲取網(wǎng)絡(luò)拓?fù)湫畔?。一旦在一段時(shí)間內(nèi)未接收到經(jīng)由某條鏈路轉(zhuǎn)發(fā)的LLDP 幀報(bào)文，則認(rèn)為該鏈路斷開。因此，利用該機(jī)制需要周期性發(fā)送LLDP幀的特點(diǎn)，攻擊者可以在探測LLDP 幀周期的基礎(chǔ)上，對兩個(gè)OpenFlow 交換機(jī)之間鏈路發(fā)起LDoS 攻擊，造成LLDP 幀在該鏈路中連續(xù)丟失，進(jìn)而使得控制器誤以為該鏈路斷開，從而導(dǎo)致控制器執(zhí)行錯(cuò)誤的網(wǎng)絡(luò)管理決策。

本文的主要工作包括：

（1）分析并驗(yàn)證了SDN 中控制器拓?fù)浒l(fā)現(xiàn)機(jī)制的脆弱性。攻擊者可以利用該脆弱性，對SDN 網(wǎng)絡(luò)發(fā)起LDoS攻擊，使得控制器無法準(zhǔn)確獲取網(wǎng)絡(luò)拓?fù)湫畔?，進(jìn)而難以進(jìn)行有效的路由決策，導(dǎo)致網(wǎng)絡(luò)性能下降。

（2）提出了針對SDN拓?fù)浒l(fā)現(xiàn)機(jī)制LDoS的連續(xù)突發(fā)檢測算法，并在此基礎(chǔ)上實(shí)現(xiàn)了SDN 主動(dòng)鏈路識(shí)別策略。實(shí)驗(yàn)分析結(jié)果表明，該檢測算法能有效檢測出針對SDN拓?fù)浒l(fā)現(xiàn)機(jī)制缺陷的LDoS攻擊，并通過主動(dòng)鏈路識(shí)別策略，在攻擊造成鏈路中斷前主動(dòng)獲取拓?fù)湫畔ⅲ_(dá)到有效防御該類LDoS攻擊的目標(biāo)。

2 相關(guān)工作

LDoS 攻擊原理在于利用網(wǎng)絡(luò)中各類機(jī)制的漏洞，通過周期性地發(fā)送大量短時(shí)間突發(fā)流量，降低網(wǎng)絡(luò)和服務(wù)的可用性。在傳統(tǒng)網(wǎng)絡(luò)中，針對TCP超時(shí)重傳機(jī)制的LDoS 攻擊得到了廣泛的關(guān)注[1]。該攻擊發(fā)送如圖1 所示的流量模式，其中L表示攻擊脈沖寬度（時(shí)間），R表示攻擊脈沖幅度（速率），T表示攻擊脈沖周期。通過發(fā)送短時(shí)間的高速率流量，使網(wǎng)絡(luò)鏈路中間節(jié)點(diǎn)交換機(jī)緩存瞬間被占滿，造成短時(shí)間內(nèi)的數(shù)據(jù)報(bào)大量丟棄。根據(jù)TCP 擁塞控制要求，當(dāng)TCP 報(bào)文在網(wǎng)絡(luò)傳輸過程中出現(xiàn)丟包，或者在超時(shí)時(shí)間內(nèi)TCP 發(fā)送方連續(xù)接收到3 次重復(fù)的ACK，則發(fā)送方將重傳對應(yīng)的報(bào)文，并降低發(fā)送窗口。RFC2988[10]建議最小超時(shí)重傳時(shí)間為1 s。因此，理論上，當(dāng)攻擊周期T為1 s時(shí)，可以使TCP連接在每次進(jìn)行超時(shí)重傳時(shí)，報(bào)文都因路由器緩存被占滿而丟棄，最終導(dǎo)致連接斷開。Rashed等人基于鏈路瓶頸帶寬隊(duì)列大小對LDoS 的最小攻擊速率進(jìn)行了分析[11]，并最小化了攻擊分組數(shù)量。

圖1 LDoS攻擊模式

在SDN環(huán)境中LDoS的研究方面，目前的研究主要集中在如何利用SDN強(qiáng)大的網(wǎng)絡(luò)管理能力對攻擊流量進(jìn)行采集分析，并在此基礎(chǔ)上通過部署相應(yīng)策略降低攻擊造成的影響。如Hong 等人針對Web 服務(wù)器面臨的Slow HTTP DDoS攻擊[12]，通過在控制器端運(yùn)行服務(wù)器代理接收不完整的HTTP請求，并對請求完成時(shí)間設(shè)置閾值，以此來判斷該請求是否為惡意攻擊。Lukaseder等人[13]通過SDN交換機(jī)阻斷識(shí)別出來的攻擊流量，并向防御目標(biāo)發(fā)送構(gòu)造的RST 消息以快速恢復(fù)。在這些研究中，LDoS 攻擊的目標(biāo)均為端系統(tǒng)而非SDN 架構(gòu)本身。此外，也有部分工作研究了SDN 架構(gòu)面臨的安全威脅，如清華大學(xué)Cao等提出了針對SDN交換機(jī)TCAM（Ternary Content Addressable Memory）的流表溢出低速率攻擊[14]，但這方面工作目前仍相對較少。

此外，在SDN拓?fù)浒l(fā)現(xiàn)機(jī)制的攻擊方面，主要研究攻擊者通過劫持修改、偽造注入控制器下發(fā)的LLDP幀等方式對控制器獲取的拓?fù)湫畔⑦M(jìn)行破壞。鄭正等提出了SecTopo的防御策略[15]，通過主機(jī)接入檢查、鏈路發(fā)現(xiàn)處理和流表項(xiàng)處理等模塊，解決主機(jī)位置劫持攻擊和鏈路偽造攻擊。與上述工作不同的是，本文主要針對SDN拓?fù)浒l(fā)現(xiàn)機(jī)制在LDoS攻擊下的脆弱性問題，提出了一種相應(yīng)的檢測和防御方法。

3 攻擊原理及TopoGuard實(shí)現(xiàn)

本章將首先分析SDN環(huán)境中控制器的鏈路發(fā)現(xiàn)機(jī)理，研究該機(jī)制面臨的LDoS 攻擊威脅。在此基礎(chǔ)上提出連續(xù)突發(fā)檢測和主動(dòng)鏈路識(shí)別防御的應(yīng)對策略，最終實(shí)現(xiàn)相應(yīng)的防御機(jī)制TopoGuard。

3.1 SDN拓?fù)浒l(fā)現(xiàn)原理

目前幾乎所有的SDN控制器都會(huì)使用默認(rèn)的主動(dòng)測量方法來獲取網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。以主流ODL（Open-Daylight）控制器為例，控制器會(huì)對所有與之連接的交換機(jī)下發(fā)匹配LLDP 幀的流表項(xiàng)。該流表項(xiàng)的優(yōu)先級為100（高優(yōu)先級），動(dòng)作為將匹配到的LLDP 幀封裝進(jìn)packet_in 消息中，并發(fā)送給控制器。如圖2 所示，控制器會(huì)向與之連接的交換機(jī)通過安全通道下發(fā)封裝有LLDP幀且動(dòng)作類型為泛洪的packet_out消息。交換機(jī)接收到控制器的packet_out 消息后，將封裝的LLDP 幀通過其所有端口轉(zhuǎn)發(fā)出去。當(dāng)對端交換機(jī)從某一端口接收到一個(gè)LLDP 幀后，根據(jù)安裝的匹配流表項(xiàng)，將LLDP幀封裝進(jìn)packet_in消息中，轉(zhuǎn)發(fā)給控制器?；谠撨^程，控制器利用下發(fā)交換機(jī)和上傳交換機(jī)的ID 確定了鏈路、的有效性。

圖2 控制器獲取拓?fù)浣Y(jié)構(gòu)過程

ODL 控制器會(huì)周期性地向所有連接的交換機(jī)同時(shí)下發(fā)封裝有LLDP幀的packet_out消息，默認(rèn)周期為5 s，以維護(hù)全局網(wǎng)絡(luò)視圖。同時(shí)控制器為了較快地對鏈路斷開事件做出反映，為每次確認(rèn)的鏈路設(shè)置了一個(gè)到期時(shí)間，若到期未再次確認(rèn)則認(rèn)為鏈路斷開，默認(rèn)到期時(shí)間設(shè)置為15 s。具體配置信息位于ODL 控制器的OpenflowPlugin 項(xiàng)目的 LLDPSpeaker.java 中。表 1 列出了目前主流控制器關(guān)于拓?fù)浒l(fā)現(xiàn)機(jī)制的相關(guān)信息。

3.2 SDN拓?fù)浒l(fā)現(xiàn)面臨的LDoS攻擊威脅

控制器周期性下發(fā)LLDP 幀信息的機(jī)制使得低速率DoS攻擊成為可能，具體攻擊可分為探測和發(fā)起攻擊兩個(gè)階段。

探測階段主要用于探測控制器下發(fā)LLDP 幀的周期T。攻擊者可以通過連接在SDN交換機(jī)上的傀儡機(jī)接收來自交換機(jī)轉(zhuǎn)發(fā)的LLDP 幀進(jìn)行周期的計(jì)算。周期可以取連續(xù)n次接收到LLDP 幀的時(shí)間間隔的平均值，同時(shí)保證n次內(nèi)相鄰兩次時(shí)間間隔差值不能過大，即：

其中，ti表示主機(jī)第i次接收到LLDP幀，a表示間隔抖動(dòng)之和的閾值。

其次，攻擊者還需要確定交換機(jī)轉(zhuǎn)發(fā)LLDP幀的時(shí)間點(diǎn)t′i，以使得攻擊脈沖能夠正好導(dǎo)致LLDP幀在轉(zhuǎn)發(fā)過程中丟包?？紤]到網(wǎng)絡(luò)時(shí)延，主機(jī)接收到LLDP幀的時(shí)刻要略晚于交換機(jī)轉(zhuǎn)發(fā)LLDP幀。在如圖3所示的網(wǎng)絡(luò)中，假設(shè)交換機(jī)S1到主機(jī)h1的單向時(shí)延為τ，則交換機(jī)轉(zhuǎn)發(fā)LLDP 幀時(shí)間為ti-τ。攻擊者可以通過ping 方式確定主機(jī)h1和h2之間往返時(shí)間d(h1,h2) ，進(jìn)而按式（3）估算交換機(jī)轉(zhuǎn)發(fā)LLDP幀時(shí)間。

圖3 網(wǎng)絡(luò)探測示意圖

此外，考慮到攻擊的隱蔽性，雖然在獲取到以上兩個(gè)參數(shù)后，攻擊者便可以通過每個(gè)傀儡機(jī)的最大發(fā)送速率產(chǎn)生高速率脈沖從而發(fā)起LDoS 攻擊，但過多的數(shù)據(jù)包無疑會(huì)增大攻擊被檢測的可能性。因此，攻擊者可以在發(fā)起攻擊前通過iperf等工具對網(wǎng)絡(luò)的瓶頸帶寬B以及交換機(jī)隊(duì)列大小C進(jìn)行探測，以在保證攻擊效果的情況下，最小化攻擊包的發(fā)送速率。

表1 主流控制器鏈路發(fā)現(xiàn)機(jī)制配置信息

在發(fā)起攻擊階段，攻擊者在獲取到控制器下發(fā)LLDP幀的周期T、交換機(jī)轉(zhuǎn)發(fā)LLDP幀的時(shí)刻t′i、網(wǎng)絡(luò)瓶頸帶寬B以及交換機(jī)隊(duì)列大小C后，便可以確定攻擊的各項(xiàng)參數(shù)。設(shè)傀儡機(jī)在ti時(shí)刻接收到交換機(jī)轉(zhuǎn)發(fā)的LLDP 幀，可以預(yù)測到下一次交換機(jī)轉(zhuǎn)發(fā)LLDP 幀的時(shí)間為：

根據(jù)式（5），攻擊者可以選擇合適的大于鏈路帶寬的攻擊流Rattack，使得在l 時(shí)間段內(nèi)快速地將交換機(jī)緩存占滿。

由于將交換機(jī)緩存空間占滿需要在t′i+1時(shí)刻之前，且t′i+1時(shí)刻左右需要保持緩存占滿狀態(tài)。因此針對t′i+1時(shí)刻的 LLDP 幀，在N臺(tái)傀儡機(jī)的情況下，每臺(tái)傀儡機(jī)在時(shí)間區(qū)間(ti+T-d(h1,h2)-l,ti+T-d(h1,h2))內(nèi)發(fā)送速率為Rattack/N的攻擊流，而在時(shí)間區(qū)間(ti+T-d(h1,h2),ti+T)內(nèi)發(fā)送速率為B/N的攻擊流。這樣，既可以保證LLDP幀被交換機(jī)丟棄，又能夠使攻擊流量最小。對于時(shí)延抖動(dòng)較大的網(wǎng)絡(luò)，需要適當(dāng)將攻擊脈沖展寬。如圖4所示為一個(gè)周期內(nèi)的攻擊模型。

圖4 單個(gè)傀儡機(jī)一個(gè)周期內(nèi)攻擊模型

若攻擊者需要攻擊中間節(jié)點(diǎn)交換機(jī)，則可以通過探測與對端主機(jī)之間的往返時(shí)間來估算中間節(jié)點(diǎn)交換機(jī)轉(zhuǎn)發(fā)LLDP幀的時(shí)刻。例如，在圖3中，攻擊者可以通過ping 的方式獲取主機(jī)h1、h3之間的往返時(shí)間，進(jìn)而估算出交換機(jī)S0轉(zhuǎn)發(fā)LLDP幀的時(shí)刻。

3.3 TopoGuard實(shí)現(xiàn)攻擊檢測及防御

針對上述攻擊機(jī)制，可采取的防御手段有：（1）控制器將下發(fā)LLDP 幀的周期性改為隨機(jī)性；（2）網(wǎng)絡(luò)管理者采用增加鏈路分流的方式減小交換機(jī)每個(gè)端口的負(fù)載；（3）在控制器上部署LDoS 攻擊檢測和防御模塊，對控制器拓?fù)浒l(fā)現(xiàn)機(jī)制進(jìn)行保護(hù)。然而，對于已經(jīng)部署運(yùn)行的SDN網(wǎng)絡(luò)，不適合將控制器宕機(jī)后修改LLDP下發(fā)參數(shù)，而且增加鏈路會(huì)引入額外開銷。相對而言，開發(fā)一個(gè)檢測和防御模塊，通過熱部署的方式獨(dú)立運(yùn)行在控制器上，既能夠節(jié)約成本，又能保證對網(wǎng)絡(luò)的監(jiān)測和防護(hù)。為此本節(jié)提出了基于連續(xù)突發(fā)檢測和主動(dòng)鏈路識(shí)別的防御機(jī)制TopoGuard。

（1）連續(xù)突發(fā)檢測

由于攻擊流量具有明顯的周期性大流特征，且攻擊均發(fā)生在控制器下發(fā)LLDP幀時(shí)刻附近。為此，通過監(jiān)測控制器下發(fā)LLDP 幀時(shí)刻附近所連接交換機(jī)各端口的轉(zhuǎn)發(fā)速率變化情況，可以有效識(shí)別LDoS攻擊。對此，設(shè)定一個(gè)端口轉(zhuǎn)發(fā)速率閾值THRE，當(dāng)采集的鏈路利用率高于該閾值時(shí)，則將該突發(fā)流量記錄下來，若連續(xù)m次采集速率都高于閾值，則觸發(fā)攻擊預(yù)警，并發(fā)送攻擊信息至防御模塊。由于控制器在連續(xù)link_expire時(shí)間內(nèi)未收到LLDP 幀的情況下會(huì)認(rèn)為鏈路中斷。因此m的值可取為：

式（6）確保在控制器認(rèn)為鏈路斷開而采取相應(yīng)的調(diào)整策略前對攻擊行為進(jìn)行遏制，同時(shí)盡可能地減小網(wǎng)絡(luò)中正常大流的影響。對于閾值THRE的選擇，過大將會(huì)因?yàn)樗俾什杉痪_而導(dǎo)致漏判，增加假陰性概率；過小則會(huì)導(dǎo)致正常的突發(fā)流被標(biāo)記為攻擊流，增加了假陽性概率。具體檢測算法見算法1。

算法1 Attack Detection

Input：(THRE,B,EXP,T,t)

1.counterij=0 //Initializes counters for each output portpjon each switchSi

2.m=

3. while true

4. read the port statisticof each output portpjon each switchSi；

5. sleep(t)；

6. read the port statisticof each output portpjon each switchSi；

7. for each output portpjon each switchSi

8. calculate the port forwarding raterijby

9. ifrij>THRE*Bij

10.counterij=counterij+1；

11. ifcounterij≥m

12. publishing attack message to System Protection；

13. end if

14. else

15.counterij=0；

16. end if

17. end for

18. end while

算法1中，輸入?yún)?shù)分別為：流量閾值THRE，每條鏈路的帶寬B，鏈路到期時(shí)間EXP，控制器下發(fā)LLDP幀的周期T以及周期性讀取交換機(jī)數(shù)據(jù)的時(shí)間間隔t。算法第1 行中的counterij變量用于統(tǒng)計(jì)交換機(jī)i端口j上采集到的速率高于閾值的連續(xù)次數(shù)。第2 行設(shè)置連續(xù)突發(fā)的次數(shù)閾值m。第4～8 行通過間隔t時(shí)間的兩次讀取流表統(tǒng)計(jì)數(shù)據(jù)，計(jì)算端口的速率。第9～16行判斷速率是否超過閾值，若超過閾值，則對counterij計(jì)數(shù)變量加1，并判斷counterij是否超過m，若超過，則說明控制器即將或已經(jīng)認(rèn)為該端口所連鏈路斷開，因此發(fā)送預(yù)警信息給防御模塊；若不超過閾值，則說明此次下發(fā)LLDP 幀能夠正常被控制機(jī)接收，因而將counterij計(jì)數(shù)器置0，重新開始計(jì)數(shù)。

（2）主動(dòng)鏈路識(shí)別防御

防御模塊接收連續(xù)突發(fā)檢測模塊的信息，當(dāng)接收到攻擊信息后，在控制器下一次下發(fā)LLDP幀之前的一段時(shí)間內(nèi)，由防御模塊對該受到攻擊的SDN 交換機(jī)主動(dòng)發(fā)送一個(gè)封裝有LLDP 幀的packet_out 消息，并使交換機(jī)接收后向受到攻擊的端口進(jìn)行轉(zhuǎn)發(fā)。這不僅能使控制器在認(rèn)為鏈路斷開前再次重置鏈路到期計(jì)時(shí)器，還能夠使網(wǎng)絡(luò)額外轉(zhuǎn)發(fā)的LLDP幀數(shù)量控制在最低水平。

算法2 System Protection

1. listen to attack message

2. if attack message received

3. extract the attacked switchsand the corresponding portp；

4.t=rand(T/4)+T/4；

5. sleep(t)；

6. send the LLDP message to thes；

7. end if

算法2 中，第1 行首先監(jiān)聽檢測模塊發(fā)送的預(yù)警信息。第2～6 行，當(dāng)接收到預(yù)警信息后，提取信息中受攻擊的交換機(jī)和端口，并在(T/4)-(T/2)時(shí)間間隔內(nèi)隨機(jī)一個(gè)時(shí)間主動(dòng)向該交換機(jī)的端口發(fā)送一個(gè)LLDP 幀。該幀可以避開攻擊的峰值，通過交換機(jī)的轉(zhuǎn)發(fā)，讓控制器能夠正常再次確認(rèn)鏈路信息。

4 實(shí)驗(yàn)驗(yàn)證及結(jié)果評估

實(shí)驗(yàn)使用mininet 仿真平臺(tái)搭建運(yùn)行仿真拓?fù)?，并結(jié)合ODL 控制器對LDoS 攻擊的影響進(jìn)行實(shí)驗(yàn)驗(yàn)證。檢測和防御方案則通過基于ODL-Carbon 版本開發(fā)的“連續(xù)突發(fā)檢測”和“主動(dòng)鏈路識(shí)別防御”兩個(gè)模塊，并安裝運(yùn)行在控制器上進(jìn)行分析。其中算法1 的輸入?yún)?shù)分別為THRE=90%,B=10 Mb/s,EXP=15 s,T=5 s,t=150 ms。仿真拓?fù)浣Y(jié)構(gòu)如圖5 所示，其中交換機(jī)S1、S2、S3分別連接外部OpenDaylight控制器。所有的鏈路設(shè)置為帶寬10 Mb/s，單向時(shí)延10 ms，最大隊(duì)列長度20。主機(jī)ht1和主機(jī)ht2為正常用戶，交換機(jī)S1和交換機(jī)S2兩側(cè)各有15 個(gè)傀儡機(jī)，IP 地址配置見圖。ODL 控制器拓?fù)涔芾聿呗詾槭褂肔2-swtich項(xiàng)目，并設(shè)置為下發(fā)mac to mac流表項(xiàng)模式。

圖5 針對SDN控制器網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)機(jī)制的LDoS實(shí)驗(yàn)拓?fù)?/p>

S1和S2各連的15個(gè)傀儡機(jī)在網(wǎng)絡(luò)拓?fù)浣?5 s后分別向?qū)Χ说谝慌_(tái)傀儡機(jī)發(fā)送攻擊流（IP 地址分別為10.0.0.1/10.0.1.1），30 個(gè)傀儡機(jī)中同步啟動(dòng)攻擊程序進(jìn)行實(shí)驗(yàn)。

在網(wǎng)絡(luò)遭受攻擊后，從ODL控制臺(tái)可以看出，交換機(jī)S1與S2之間的鏈路斷開，如圖6所示。

圖6 網(wǎng)絡(luò)遭受攻擊前后拓?fù)?/p>

實(shí)驗(yàn)測得，在攻擊發(fā)起約20 s 后，主機(jī)ht1、ht2之間的時(shí)延由60 ms左右增加到80 ms左右，如圖7所示。而在部署了檢測和防御模塊后再進(jìn)行攻擊實(shí)驗(yàn)時(shí)，測得時(shí)延幾乎與正常情況下相同，如圖中的點(diǎn)線和虛線。

圖7 攻擊造成時(shí)延變化

同時(shí)，進(jìn)一步檢測交換機(jī)流表項(xiàng)條目數(shù)的變化情況，如圖8所示，S3交換機(jī)在受到LLDP攻擊后，流表項(xiàng)條目數(shù)明顯增加。這是由于攻擊造成控制器對鏈路路由調(diào)整所導(dǎo)致。在實(shí)際網(wǎng)絡(luò)中，如果鏈路本身有較大的用戶流量存在，則攻擊使鏈路流量切換至鏈路上，將造成網(wǎng)絡(luò)吞吐量的下降。同時(shí)，當(dāng)運(yùn)行了檢測和防御模塊，攻擊對S3交換機(jī)的流表項(xiàng)條目數(shù)沒有影響，如圖中幾乎重疊的點(diǎn)線和虛線。

圖8 交換機(jī)流表項(xiàng)目數(shù)變化

5 總結(jié)

軟件定義網(wǎng)絡(luò)中邏輯上集中的控制平面為網(wǎng)絡(luò)管控帶來了極大的便利性，而準(zhǔn)確發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)鋵τ赟DN網(wǎng)絡(luò)的管控決策具有重要意義。然而，當(dāng)前基于LLDP的周期性拓?fù)浒l(fā)現(xiàn)機(jī)制存在較大的安全缺陷，當(dāng)面臨LDoS等攻擊行為時(shí)會(huì)導(dǎo)致控制器無法準(zhǔn)確獲取網(wǎng)絡(luò)拓?fù)湫畔?。本文首先概述了SDN 拓?fù)浒l(fā)現(xiàn)的工作機(jī)理，通過理論分析和實(shí)驗(yàn)驗(yàn)證方式分析了LDoS 攻擊對SDN控制器拓?fù)浒l(fā)現(xiàn)機(jī)制造成的影響，并在此基礎(chǔ)上提出了一種面向SDN 拓?fù)浒l(fā)現(xiàn)的LDoS 攻擊防御機(jī)制TopoGuard。實(shí)驗(yàn)結(jié)果顯示，TopoGuard 能夠快速檢測出網(wǎng)絡(luò)中存在的疑似LDoS 攻擊行為，并保證控制器獲取全局拓?fù)湫畔⒌恼_性。在下一步工作中，將考慮結(jié)合機(jī)器學(xué)習(xí)等技術(shù)，建立一種能夠準(zhǔn)確識(shí)別并阻止LDoS 攻擊流量的方法，進(jìn)一步降低LDoS 攻擊對SDN網(wǎng)絡(luò)帶來的影響。