SDN环境中基于端址跳变的DDoS防御方法

发布时间：2024-06-30 20:16

　　为了保护关键基础设施的服务器免受DDoS攻击,文章引入移动目标防御技术,提出了一种SDN环境下基于端址跳变的DDoS防御方法。使用基于双重Counter Bloom Filter的DDoS攻击检测算法持续监测并快速发现DDoS攻击,SDN控制器通过下发流表过滤恶意流量,并通知可信客户端按照轮询策略从端址映射表中选择新的服务器虚拟IP地址及端口进行通信,实现服务器端址跳变躲避DDoS攻击。实验表明,该方法不仅能快速检测出DDoS攻击,并且能够有效缓解DDoS攻击带来的影响。

【文章页数】：6 页

【部分图文】：

图2服务器端址跳变模块处理流程

为了测试基于双重CounterBloomFilter的DDoS攻击检测算法的检测速率,使用含有SYNFlood流量的公开DDoS数据集CICDDoS2019[13]进行实验。为了模拟真实环境,每次实验的数据起始点都是随机的,使用确定性采样,每隔N个报文抽取一个报文,实验使用....

图3不同采样比下报警时间的累积分布函数

为了测试PAH-AntiDDoS系统的抗DDoS攻击能力,将受保护服务器的平均响应时间作为抗DDoS能力的指标,在遭到不同速率的SYNFlood攻击的情况下,采集服务器的平均响应时间,使用Hping3在多台攻击机上生成SYNFlood流量对一台服务器进行攻击,测试结果如图4所....

图4不同攻击速率下服务器平均响应时间

针对本文应用场景设计的PAH-AntiDDoS系统架构如图1所示,DDoS攻击检测模块以及服务器端址跳变模块部署在SDN控制器上。每台服务器通过OpenFlow交换机接入网络以获取防御DDoS攻击的安全服务,拥有服务器端口地址映射表的主机称为可信客户端,网络中只有SDN控制器以及....

图1PAH-AntiDDoS系统架构

本文编号：3999017