搭建环境
- 搭建一个简单的实验环境,hacker攻击某一网络中的web服务器,web服务与交换机s1相连,此外s1也作为sflow的代理sflow agent,并且受控于floodlight控制器,如下如图所示:
- 搭建流程:使用docker、ovs虚拟化技术分别模拟出hacker、web,使用floodlight、sflow collector的docker镜像进行试验,搭建详细步骤如下,具体见注释
//创建hacker、web
docker run -itd --network=none --name=hacker hacker:1
docker run -itd --network=none --name=web server/apache
//常见floodlight控制器
docker run -d -p 6653:6653 -p 8080:8080 --name=floodlight glefevre/floodlight
//创建s1
sudo ovs-vsctl add-br s1
//s1连接hacker、web并且分配ip
sudo ovs-docker add-port s1 veth hacker --ipaddress=10.0.0.1/24
sudo ovs-docker add-port s1 veth web --ipaddress=10.0.0.2/24
//设置s1受控于floodlight控制器
sudo ovs-vsctl set-controller s1 tcp:127.0.0.1:6653
//配置s1为sflow代理
sudo ifconfig s1 10.0.0.3/24
sudo ovs-vsctl -- --id=@sFlow create sFlow agent=s1 target=\"127.0.0.1:6343\" header=128 sampling=64 polling=1 -- set bridge s1 sFlow=@sFlow
//创建sflow collector,使用的是sflow/ddos-protect镜像
docker run -p 6343:6343/udp -p 8008:8008 --name=sflow sflow/ddos-protect
发起DDoS攻击
- 本次试验使用的是自己封装的hacker镜像,其中包含了hping3 工具,本次试验使用该软件发起DDoS攻击
查看hacker的ip
验证连通性
使用hping3工具模拟发起DDoS攻击
判断DDoS攻击
- 本实验采用sFlow-RT接收sFlow agent发送的数据,通过解析数据,实时查看网络的状况,如何判断是DDoS攻击呢?
- 向sFlow-RT设置网络流量阈值,超过阈值的设置为异常流量
- sFlow-RT一旦发现异常流量,然后通过数据包长度与IP地址作为流量特征为DDoS攻击提供判断依据
- 若判断为攻击流量,通过SDN控制器下发相应的OpenFlow流表项,使得交换机丢弃匹配的数据包,从而阻断异常流量
使用SDN控制器floodlight减缓DDoS攻击
下发OpenFlow流表,丢弃所有的数据包,这里采用比较粗暴的方法,实际工作中不会采用如此不合理的方式,这里目的在说明,流表可以控制减缓DDoS攻击,对于流表的定义详细见Floodlight Controller
- 查看交换机的DPID
- 下发流表
下发流表前
下发流表
下发流表后
- 清除所有的流表
清除流表前
清除流表
清除流表后