开启掘金成长之旅!这是我参与「掘金日新计划 · 12 月更文挑战」的第4天,点击查看活动详情
论文来源
该文献由拉脱维亚大学的Andis所写并刊登在2015年的IEEE上
文章背景
互联网环境现在是世界上最大部分人口都在使用的公共设施,他的故障或性能偏差会极大影响人们的正常生活。BGP协议一直是逻辑路由任务的骨干技术,也是唯一能够实现世界规模网络的协议。在当时,openflow的出现也使得数据中心网络和单一自治系统边界出现。
公共互联网中存在某些类型的人为攻击,这些攻击包括DDoS。大部分ISP检查收到的数据包的源IP地址并把含有欺骗信息的数据包丢弃掉。但仍有约20%的ISP会被使用原始方法的欺骗源IP地址所欺骗,例如spoof-cmand。这种情况下,DDoS流量的目的是扰乱和破坏受害者服务器上的公共服务。从这种考虑DDoS的威胁的角度来看,企业和ISP都可以考虑SDN可以为网络安全带来什么。
作者主要观点和要解决的问题
本研究的主要聚焦点是基于openflow的安全改进。相比于传统防火墙,本项研究的改进多了针对DDos和欺骗源IP地址的保护。基于SDN的技术和分类,如果每个交换机都作为多端口防火墙,防火墙策略不仅可以安装在边缘设备上,甚至可以安装在所有SDN交换机上。
SDN在当时有其独特的防御优势,一方面是因为SDN控制器作为集中式网络信息收集机制的核心,能够为整个网络提供安全策略;另一方面,SDN网络具有较高的可配置性。
作者提出了一种最先进的方法用于缓解单一AS边界上的SDN网络DDoS。作者提供了最先进的远程API来丢弃上行链路上的DDoS方法,这是当时处理DDos的绝佳选择。
关键技术分析
提出了一个SOTA API实现两个功能,一个是对于好的数据包和坏的数据包的区分,另一个是对于坏的数据包尽可能地丢弃。
用户可以通过专用的网络HTTPS/TLS 来安装远程DDoS API中的新规则。过境的ISP可以通过查看这些请求是否来自为自己的地址请求服务的IP,或者是在IANA区域数据库中列出的地址,如欧洲的RIPE,来判断请求是否来自合法用户。最后那些同意提供DDoS服务的中转ISP将在全球BGP表中公布他们的服务,作为扩展社区,OpenFlow控制器可以直接连接到全球BGP表。
下图是API的网络放置图:
实验方法
- 拉脱维亚的IP欺骗实验
该实验发生在拉脱维亚四个最大的ISP网络中,找出所选主机的源地址是否会被欺骗。实验发现额外的管理数据包与特别的TTL时长可以帮助发现从源头到目的地的欺骗数据包足迹。
- 实验场景1
实验图示如下图所示,实验中流量产生器产生两种流量,一种是50M/S的注册IP良好的正常流量,另一部分是50M/s的随机地址发出的流量。当流量达到阈值的时候,ONOS在OF交换机上配置安装指令,丢弃来自目标主机未知的IP数据包,当流量低于阈值的时候,ONOS会删除掉目的地丢弃指令。
下图即为用户端流量检测的结果。实验表明,该方法对于合法流量的延迟很小,几乎没有下降。
- 实验场景2:
实验场景2中流量产生方式与实验场景一近乎类似,不同的在于以下两点:
第一,丢失的数据包的数量使用发送的和接受的良好数据包之间的差值。
第二,现在本地使用最先进API的ONOS控制器将想ISP的API控制器请求并为ISP网络中的DDoS受害者配置DDoS策略。
实验结果表示,当DDos缓解机制开始后,会有一个很小的延迟,但由于超额订阅,对于良好数据包并不会有影响。
结论
文章详细的讨论了作者发现当时网络存在的DDoS的问题,用多个实验分别证明了DDoS和IP 欺骗风险的危害以及所提出的SOTA方法对于反制单一AS边界的SDN网络上的DDoS的有效性。本篇文章也倡导反DDoS机制,并将其作为ISP的新兴业务。
论文工作优点和局限性
优点: 论文详细论证了当时DDoS的危害以及对于反制DDoS的必要性,另一方面,论文也给出了详细的实验方法以及可用的API。
不足: 当前工作还只停留在理论层面,对于大规模的网络没有验证,没有推动ISP 开发此项新的业务。且本实验所使用的的流量测试皆为UDP数据包形式,缺乏对于TCP包的测试。
未来发展方向
解决当前技术在TCP数据包领域出现的延迟问题,并将该方案推广以期ISP可以将其纳入其新兴业务,大规模使用。在openflow网络中为API管理流量增加一个具有服务质量保护的切片会更好。
思考与总结
第一,在实验过程中,往往会出现我们之前意想不到的情况或意想不到的实验结果,在这种情况下我们应该对这种情况进行记录并考虑这些以外情况对结论推广的影响。
第二,使用安全可靠的API对网络编程以及促进网络安全有极大的必要性和可靠性。
