為了保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的服務(wù)器免受DDoS攻擊,文章引入移動目標(biāo)防御技術(shù),提出了一種SDN環(huán)境下基于端址跳變的DDoS防御方法。使用基于雙重Counter Bloom Filter的DDoS攻擊檢測算法持續(xù)監(jiān)測并快速發(fā)現(xiàn)DDoS攻擊,SDN控制器通過下發(fā)流表過濾惡意流量,并通知可信客戶端按照輪詢策略從端址映射表中選擇新的服務(wù)器虛擬IP地址及端口進(jìn)行通信,實現(xiàn)服務(wù)器端址跳變躲避DDoS攻擊。實驗表明,該方法不僅能快速檢測出DDoS攻擊,并且能夠有效緩解DDoS攻擊帶來的影響。

【文章頁數(shù)】：6 頁

【部分圖文】：

圖2服務(wù)器端址跳變模塊處理流程

為了測試基于雙重CounterBloomFilter的DDoS攻擊檢測算法的檢測速率,使用含有SYNFlood流量的公開DDoS數(shù)據(jù)集CICDDoS2019[13]進(jìn)行實驗。為了模擬真實環(huán)境,每次實驗的數(shù)據(jù)起始點都是隨機(jī)的,使用確定性采樣,每隔N個報文抽取一個報文,實驗使用....

圖3不同采樣比下報警時間的累積分布函數(shù)

為了測試PAH-AntiDDoS系統(tǒng)的抗DDoS攻擊能力,將受保護(hù)服務(wù)器的平均響應(yīng)時間作為抗DDoS能力的指標(biāo),在遭到不同速率的SYNFlood攻擊的情況下,采集服務(wù)器的平均響應(yīng)時間,使用Hping3在多臺攻擊機(jī)上生成SYNFlood流量對一臺服務(wù)器進(jìn)行攻擊,測試結(jié)果如圖4所....

圖4不同攻擊速率下服務(wù)器平均響應(yīng)時間

針對本文應(yīng)用場景設(shè)計的PAH-AntiDDoS系統(tǒng)架構(gòu)如圖1所示,DDoS攻擊檢測模塊以及服務(wù)器端址跳變模塊部署在SDN控制器上。每臺服務(wù)器通過OpenFlow交換機(jī)接入網(wǎng)絡(luò)以獲取防御DDoS攻擊的安全服務(wù),擁有服務(wù)器端口地址映射表的主機(jī)稱為可信客戶端,網(wǎng)絡(luò)中只有SDN控制器以及....

圖1PAH-AntiDDoS系統(tǒng)架構(gòu)

本文編號：3999017