6.2 防DDoS攻击SDN应用开发 (1).pptx

SDN基础应用开发

01SDN应用开发简介02防DDoS攻击SDN应用开发03服务器灾备SDN应用开发04简易负载均衡SDN应用开发

DDoS攻击简介DoS（DenialofService，即拒绝服务）攻击是一种很简单但又很有效的进攻方式。它的目的是拒绝服务访问，破坏组织的正常运行。DoS攻击的基本过程如右图所示首先攻击者向服务器发送众多的带有虚假地址的请求服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放当服务器等待一定的时间后，连接会因超时而被切断，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽

DDoS攻击典型场景DDoS攻击场景现象流量型（直接）SYN\ACK\ICMP\UDP\ConnectionFLOOD等DDoS告警流量型（反射）NTP\DNS\SSDP\ICMPFLOOD等DDoS告警CC流量变化可能不明显，业务访问缓慢，超时严重，大量访问请求指向同一个或少数几个页面HTTP慢速流量变化可能不明显，业务访问缓慢，超时严重，大量不完整的HTTPGET请求，出现有规律大小（通常很小）的HTTPPOST请求的报文URL反射流量变化明显，业务访问缓慢，超时严重，大量请求的Referer字段相同，表明均来自同一跳转页面各种DoS效果漏洞利用入侵检测防御设备可能出现告警，DDoS攻击检测设备告警不明显针对典型DDoS攻击通过攻击特征进行分类，转换为攻击场景：

SDN应用开发示例：防DDoS攻击核心技术——sFlowsFlow技术是一种以设备端口为基本单元的数据流随机采样的流量监控技术，不仅可以提供完整的第二层到第四层甚至全网范围内的实时流量信息，而且可以适应超大网络流量环境下的流量分析。sFlow监控工具由sFlowAgent和sFlowCollector两部分组成。Agent作为客户端，一般内嵌于网络转发设备，通过获取设备上的接口统计信息和数据信息，将信息封装成sFlow报文，当sFlow报文缓冲区满或是在sFlow报文缓存时间超时后，sFlowAgent会将sFlow报文发送到指定的Collector。Collector作为远端服务器

SDN应用开发示例：防DDoS攻击本示例中，Collector作为远端服务器，部署在OpenDayLight控制器中，负责对sFlow报文分析、汇总、生成流量报告。Agent部署在OpenFlow交换机中，负责流量数据的收集。核心技术——sFlow

SDN应用开发示例：防DDoS攻击本示例采用的sFlow软件为sFlow-RT，sFlow-RT可统计到每个接口的流量信息，实验通过sFlow-RT的RESTAPI获取JSON数据并对JSON数据进行解析，对解析到的数据进行分析判断后即可实施策略。通过对sFlow-RT进行配置，设定metric=ddos，并设定它的阈值，当监测到的流量超过这个阈值时即判断为DDoS。sFlow-RT调用预制的OpenDaylight脚本：odl.js来调用OpenDaylightRESTfulAPI下发匹配DDoS攻击包流表，并进行丢弃操作，完成模拟DDOS攻击防御。控制器：主机1:主机2:0

SDN应用开发示例：防DDoS攻击控制器安装sFlow执行解压命令，命令如下。#tar-xvzfsflow-rt.tar.gz执行如下命令拷贝脚本。#cp/home/openlab/openlab/ddos/json2.js/home/sflow-rt/extras#cp/home/openlab/openlab/ddos/odl.js/home/sflow-rt3.进入控制器主机的/home/sflow-rt目录，编辑脚本odl.js。用上述获取的主机IP信息以及连接到OpenDaylight的node信息进行替换，如下所示。修改start.sh脚本，将execjava${JVM_OPTS}${RT_OPTS}${RTPROP}-jar${JAR}替换成如下内容：SCRIPTS=-Dscript.file=odl.jsexecjava${JVM_OPTS}${RT_OPTS}${RTPROP}${SCRIPTS}-jar${JAR}

SDN应用开发示例：防DDoS攻击交换机部署sFlow使用root用户登录交换机，执行以下命令，部署sFlowAgent。#ovs-vsctl----id=@sflowcreatesflowagent=s1target=\:6343\header=128sampling=10polling=1--setbridgebr-swsflow=