3-3 基于RYU的流量风暴事件原理与响应策略

最新推荐文章于 2024-06-14 09:32:35 发布
最新推荐文章于 2024-06-14 09:32:35 发布
阅读量374 收藏 7
点赞数 3
分类专栏: 软件定义安全 文章标签: 安全 sdn ryu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28938301/article/details/138846675
版权

在传统网络中,存在着一定的广播流量,占据了一部分的网络带宽。同时,在有环的拓扑中,如果不运行某些协议,广播数据还会引起网络风暴,使网络瘫痪。
如有以下的一个网络拓扑结构(3_2_topoplus.py)

from mininet.net import Mininet
from mininet.node import OVSSwitch, Host
from mininet.cli import CLI
from mininet.link import Link
from mininet.node import RemoteController
#import networkx as nx
#import matplotlib.pyplot as plt

def create_network():
    net = Mininet()
        # 创建单个OVS交换机
    switch1 = net.addSwitch('s1', cls=OVSSwitch,protocols='OpenFlow13')
    switch2 = net.addSwitch('s2', cls=OVSSwitch,protocols='OpenFlow13')
    
    
    # 创建2个主机
    host1 = net.addHost('h1', cls=Host, ip='192.168.0.1/24', defaultRoute='via 192.168.0.254')
    host2 = net.addHost('h2', cls=Host, ip='192.168.0.2/24', defaultRoute='via 192.168.0.254')
    host3 = net.addHost('h3', cls=Host, ip='192.168.0.3/24', defaultRoute='via 192.168.0.254')
    host4 = net.addHost('h4', cls=Host, ip='192.168.0.4/24', defaultRoute='via 192.168.0.254')

   
    
    # 连接主机到交换机
    net.addLink(host1, switch1)
    net.addLink(host2, switch1)
    net.addLink(host3, switch2)
    net.addLink(host4, switch2)
#交换机连接交换机
    net.addLink(switch1, switch2)
    net.addLink(switch1, switch2)#环路
     
    
    # 指定控制器的IP地址和端口
    #可以先使用ss -tlnp | grep ryu-manager查看ryu运行后的监听端口
    controller_ip = '127.0.0.1'
    controller_port = 6633

# 创建Mininet网络,并指定控制器和OpenFlow协议版本
  
    net.addController('controller', controller=RemoteController, ip=controller_ip, port=controller_port,protocols='OpenFlow13')
  
    # 启动网络
    net.start()
      
    # 打开命令行界面
    CLI(net)
    
    # 关闭网络
    net.stop()

if __name__ == '__main__':
    create_network()

结合上一篇文章中已经实现的控制器应用程序,我们进行测试,并观察产生的数据交互信息,因产生广播风暴(瞬间达到千万级别的包)导致资源崩溃,无法ping通
在这里插入图片描述
在软件定义网络中,要解决以上安全问题,我们可以在控制器应用程序中进行编程实现。下文将实现在控制器RYU应用程序上开发ARP代理功能模块,以解决目前的网络广播风暴安全隐患。

进入/etc/sysctl.conf修改linux内核配置,关闭icmpv6功能
root@zmq-virtual-machine:/etc# vi sysctl.conf
root@zmq-virtual-machine:/etc# nano sysctl.conf
root@zmq-virtual-machine:/etc# nano sysctl.conf
在这里插入图片描述
在文件的末尾添加以下行来禁用 ICMPv6:
复制
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6=1
这将禁用所有接口(all)和默认接口(default)的 IPv6 功能。
然后保存并重新加载配置文件并应用更改:
在这里插入图片描述
以上关闭后最后,重启一下linux系统会重启ipv6
在这里插入图片描述
经过以上操作后,如果生成的host中仍然还有ipv6因为我们在构建网络中比有IP协议的支撑,即使关掉HOST的IPv6 后仍然有ovs生成的虚拟交换机发送相关信息(即使禁用所有设备的ipv6相关你握手包,也还会有IPv4的包,如果都没有握手包,IP协议将因无法正常协商而出现异常)
因此,需要使用编程的办法在ryu控制器APP上进行数据包剔除,把相关的促发信息改为ARP(ping的先行数据包)才进行响应,包括下发流表和mac地址学习等。

解决问题: 前面的packet_in数据包是没有ip地址的?只有ARP才开始有?
1 在packet_in_handler函数中剔除ICMP

from ryu.base import app_manager
from ryu.controller import ofp_event
from ryu.controller.handler import set_ev_cls
from ryu.controller.handler import  MAIN_DISPATCHER
from ryu.controller.handler import CONFIG_DISPATCHER
from ryu.ofproto import  ofproto_v1_3
from ryu.lib.packet import  packet
from ryu.lib.packet import ethernet
from ryu.lib.packet import ipv6
from ryu.lib.packet import icmp
from ryu.lib.packet import icmpv6


class L2Switch(app_manager.RyuApp):
 def __init__(self, *args, **kwargs):
     super(L2Switch, self).__init__(*args, **kwargs)
     self.mac_port_table={}

 @set_ev_cls(ofp_event.EventOFPSwitchFeatures, CONFIG_DISPATCHER)
 def switch_features_handler(self, ev):
     datapath = ev.msg.datapath
     ofproto = datapath.ofproto

     #msg = ev.msg    #features阶段的数据包没有封装承载其他的协议,因此没有data字段 
     parser=datapath.ofproto_parser
     #pkt = packet.Packet(msg.data)#features阶段的数据包没有封装承载其他的协议,因此没有data字段 
     #icmp_pkt = pkt.get_protocol(icmp.icmp)#features阶段的数据包没有封装承载其他的协议,因此没有data字段 
     #icmp6_pkt = pkt.get_protocol(icmpv6.icmpv6)#features阶段的数据包没有封装承载其他的协议,因此没有data字段 
     #if not icmp_pkt and not icmp6_pkt:  #无需判断
     match = parser.OFPMatch()
     actions = [parser.OFPActionOutput(ofproto.OFPP_CONTROLLER, ofproto.OFPCML_NO_BUFFER)]
     self.add_flow(datapath, 0, match, actions)



 def add_flow(self, datapath, priority,match, actions):

     ofproto = datapath.ofproto
     parser = datapath.ofproto_parser

     inst=[parser.OFPInstructionActions(ofproto.OFPIT_APPLY_ACTIONS,actions)]
     mod=parser.OFPFlowMod(datapath=datapath, priority=priority,match=match, instructions=inst)
     datapath.send_msg(mod)



 @set_ev_cls(ofp_event.EventOFPPacketIn,MAIN_DISPATCHER)
 def packet_in_hander(self,ev):
     msg = ev.msg
     dp = msg.datapath
     ofp = dp.ofproto
     ofp_parser = dp.ofproto_parser
     in_port = msg.match['in_port']

     dpid=dp.id
     pkt = packet.Packet(msg.data)
     icmp_pkt = pkt.get_protocol(icmp.icmp)
     icmp6_pkt = pkt.get_protocol(icmpv6.icmpv6)
     if not icmp_pkt  and not icmp6_pkt:
         self.mac_port_table.setdefault(dpid, {})
         pkt = packet.Packet(msg.data)
         eth_pkt = pkt.get_protocols(ethernet.ethernet)[0]

         dst = eth_pkt.dst
         print(dst)
         src = eth_pkt.src
         self.mac_port_table[dpid][src] = in_port
         if dst in self.mac_port_table[dpid]:
             out_port = self.mac_port_table[dpid][dst]
         else:
             out_port = ofp.OFPP_FLOOD
         actions = [ofp_parser.OFPActionOutput(out_port)]

         if out_port != ofp.OFPP_FLOOD:
             match = ofp_parser.OFPMatch(in_port=in_port, eth_dst=dst, eth_src=src)
             # verify if we have a valid buffer_id, if yes avoid to send both
             # flow_mod & packet_out
             if msg.buffer_id != ofp.OFP_NO_BUFFER:
                 self.add_flow(dp, 1, match, actions, msg.buffer_id)
                 print("1")
                 return
             else:
                 self.add_flow(dp, 1, match, actions)
                 print("2")

         data = None
         if msg.buffer_id == ofp.OFP_NO_BUFFER:
             data = msg.data

         out = ofp_parser.OFPPacketOut(datapath=dp, buffer_id=msg.buffer_id,
                                       in_port=in_port, actions=actions, data=data)
         dp.send_msg(out)

在这里插入图片描述

本代码运行后,因为剔除了icmp,因此不会因为因为icmp直接产生风暴风险,但是在mininet中执行ping后将产生ARP风暴,效果如下图所示。

在这里插入图片描述

qq_28938301
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Ryu 防火墙的检测和解决异常入侵的流量--实验
需要远程指导仿真实验、代码有问题的,请后台私信或者关注公众号
11-18 1196
基于Ryu 防火墙的检测和解决异常入侵的流量
基于ryu实现网络的流量监控--monitor
北风
12-27 6270
程序均为ryubook的案例,在此记录一下我对程序的理解和实验的执行步骤。如系统学习,可以下载ryubook进行学习,此外可以参考https://ryu.readthedocs.io/en/latest/getting_started.html,这是官方的网站,里面详细阐述了各种功能和开发步骤。 背景: 流量监控,即针对交换机加入流量监控的功能,包括监控错包,发送包的数量等一系列的操作。因为,网络已经成为许多服务或业务的基础建设,所以维护一个稳定的网络环境是必要的。但是网络问题总是不断地发生。网络发生异
基于SDN的网络流量分析与控制--实验
需要远程指导仿真实验、代码有问题的,请后台私信或者关注公众号
04-28 1017
基于SDN的网络流量分析与控制--实验
基于Ryu开发的网络流量监控系统
CSDN
04-14 1869
from operator import attrgetter from ryu.app import simple_switch_13 from ryu.controller import ofp_event from ryu.controller.handler import MAIN_DISPATCHER, DEAD_DISPATCHER from ryu.controller.handle...
ryu实例---基于跳数的最短路径转发
北风
05-18 5587
参考网上的一些知识,本篇内容主要介绍如何利用networkx实现最短路径转发,同时介绍ryu如何获取链路拓扑。 一、获取拓扑 对于ryu控制器而言,获取链路拓扑的主要模块在ryu/topology目录下面,下面主要介绍接下来用到的api.py和switches.py。 (1) api: api是ryu对开发者提供的获取链路信息的接口,api提供了get_switch(), get_link()方法,通过这两个接口,可以获取链路的交换机的信息和各个节点的链路信息,具体的代码如下。 def get_
Ryu应用开发(流量监控原理与基于跳数的最短路转发)
Howie66的博客
05-18 3542
1.流量监控原理2.需要监听什么就导入使用什么修饰器@set_ev_cls()3.基于跳数的最短路径转发原理4.app.manager.Ryuapp为官方的库5.未完待续
ryu实例---基于链路质量(时延)的最短路径转发
北风
06-09 4813
一、前言 预备知识: (1) ryu网络拓扑发现:https://www.sdnlab.com/11576.html (2) ryu基于跳数最短路径转发:https://blog.csdn.net/weixin_40042248/article/details/116977397?spm=1001.2014.3001.5501 (3) ryu网络时延探测:https://blog.csdn.net/weixin_40042248/article/details/117562160?spm=1001.
Ryu拓扑发现原理
菜地里翻滚的猪的博客
05-15 1513
Ryu拓扑发现的核心模块是ryu/topology目录下的switches.py,拓扑发现的利用是同目录下的dumper.py。在dumper.py中,会利用_CONTEXTS来实例化switches.py中的Switches类,然后将拓扑发现的相干信息通过日志方式(LOG.debug)显示。启动命令以下所示:   ryu-manager --verbose --observe-links ryu...
基于ryu实现集线器的功能---Hub实现
北风
12-23 821
Hub实现环境:两台Ubuntu虚拟机、mininet、ryu控制器、pycharm 环境搭建见前几篇文章,有具体的搭建步骤。 对于ryu的开发,推荐ryubook这本工具书。 首先,在Ubuntu上安装pycharm,安装完成后,导入ryu项目,若出现无法修改或者权限问题,则需要通过命令chmod [ u / g / o / a ] [ + / - / = ] [ r / w / x ] file修改文件的权限。 接下来,就解释一下代码的编写: 导入包,将导包放在最前面,主要是刚开始学实在不知道
sdx-ryu:基于Ryu的SDX控制器,支持策略隐私和新的VMAC编码方案
05-11
基于Ryu的SDX控制器 安装:流浪汉安装 ####先决条件 首先,在您的host上安装以下软件: 安装Vagrant ,它是VirtualBox,VMWare等虚拟化软件的包装: : 安装VirtualBox ,这将是您的VM提供程序: : 安装Git ,它...
sdn-apps-for-dfr:基于Ryu的软件定义网络应用程序,基于Snort IDS实现了数字取证准备框架
02-05
sdn-apps-for-dfr:基于Ryu的软件定义网络应用程序,基于Snort IDS实现了数字取证准备框架
Ryu-SDN-IP:由Ryu SDN框架实现的SDN-IP项目
02-05
$ git clone https://github.com/TakeshiTseng/Ryu-SDN-IP.git && cd Ryu-SDN-IP 安装依赖 $ pip install -r requirements.txt 为Ryu SDN-IP创建配置文件 cp config.sample.json config.json 配置文件示例: { ...
SDN防火墙:基于Ryu的防火墙
02-05
1.firat启动ryuryu-manager ryu.app.rest_firewall 2.然后启动mininet: python switch.py 3.然后添加规则并添加端口镜像: xterm s1 curl -X PUT ...
ryu-sdn:ryu应用程序
02-05
琉球ryu应用
等保测评和安全运维
weixin_64392888的博客
06-11 672
通过将等保测评的标准和流程融入日常的安全运维工作中,企业可以更有效地识别和应对网络安全威胁,构建起一个全面、动态的网络安全防护体系。为了应对这些挑战,企业不仅要实施有效的安全运维措施,还需要通过等保测评确保其信息系统符合国家的安全标准。等保测评提供了一套标准化的安全要求,安全运维团队可以根据这些要求,实施相应的安全措施,如加强访问控制、数据加密、网络安全防护等。通过等保测评,企业可以识别信息系统的安全风险,并根据测评结果制定或调整安全策略,确保安全措施与企业的实际需求相匹配。
《软件定义安全》之六:SDN和NFV安全实践
大龄IT民工
06-11 1414
DDoS检测清洗应用ADS APP的设计思路:借助安全控制平台中流相关的组件,从SDN控制器中获得相应的流量,并根据抗DDoS应用订阅的恶意流特征进行检测,发现恶意流量后,应用可根据细粒度的检测判断是否出现恶意攻击。如是,则下发实时清洗的流指令,即可将恶意流量牵引到清洗设备ADS上。过程如下:➊注册。启动阶段,ADS设备和ADS APP均向安全控制平台注册,提供自己的基本信息,如类型、位置和能力等。➋订阅。为获取并检查可疑流,ADS APP向安全控制器发送订阅。➌流统计获取和检查。
如何确保数据跨域交换安全、合规、可追溯性?
最新发布
文件数据安全交换
06-14 429
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。针对上述问题,推荐采用统一的数据跨域交换管控平台,如飞驰云联《Ftrans MDE多区域文件交换系统》,帮助企业构建统一、安全、高效的数据跨域交换通道,确保数据在多地理区域、多网络区域、多分支机构间准确、高效地传输。问题:明文传输,容易被截获和窃取;
展会邀请 | 龙智即将亮相2024上海国际嵌入式展,带来安全合规、单一可信数据源、可追溯、高效协同的嵌入式开发解决方案
weixin_49715102的博客
06-09 969
凭借在DevSecOps领域的深厚积累,龙智在全球范围内遴选优秀的专业工具,为嵌入式开发行业打造了专属的嵌入式开发解决方案,并提供专业咨询、方案定制、实施部署、专业培训、定制开发等一站式服务支持。等全球专业工具,覆盖嵌入式软件单元测试、静态代码分析、需求管理、版本控制、生命周期管理及项目管理、知识库管理等领域,助力企业实现安全合规、可追溯、单一可信数据源、高效协同的嵌入式开发。并且嵌入式系统往往非常复杂,需要全面的测试覆盖、高效的测试执行,才能确保系统的可靠性和正确性,以及产品的及时交付。
写一段基于RYU的pox算法的文件
05-13
以下是一个基于RYU的POX算法的示例文件: ```python from ryu.base import app_manager from ryu.controller import ofp_event from ryu.controller.handler import CONFIG_DISPATCHER, MAIN_DISPATCHER from ryu.controller.handler import set_ev_cls from ryu.ofproto import ofproto_v1_0 from ryu.lib.packet import packet, ethernet from ryu.lib.packet.ethernet import ETH_TYPE_IP from ryu.lib.packet.ipv4 import ipv4 class SimpleSwitch(app_manager.RyuApp): OFP_VERSIONS = [ofproto_v1_0.OFP_VERSION] def __init__(self, *args, **kwargs): super(SimpleSwitch, self).__init__(*args, **kwargs) self.mac_to_port = {} @set_ev_cls(ofp_event.EventOFPPacketIn, MAIN_DISPATCHER) def packet_in_handler(self, ev): msg = ev.msg datapath = msg.datapath ofproto = datapath.ofproto parser = datapath.ofproto_parser in_port = msg.in_port pkt = packet.Packet(msg.data) eth = pkt.get_protocol(ethernet.ethernet) if eth.ethertype == ETH_TYPE_IP: ip = pkt.get_protocol(ipv4.ipv4) src_ip = ip.src dst_ip = ip.dst # Add flow entry to forward the packet to the correct port actions = [parser.OFPActionOutput(self.mac_to_port[dst_ip])] match = parser.OFPMatch(dl_type=ETH_TYPE_IP, nw_src=src_ip, nw_dst=dst_ip) self.add_flow(datapath, 1, match, actions) # Send packet out the correct port out = parser.OFPPacketOut( datapath=datapath, buffer_id=msg.buffer_id, in_port=in_port, actions=actions, data=msg.data ) datapath.send_msg(out) def add_flow(self, datapath, priority, match, actions): ofproto = datapath.ofproto parser = datapath.ofproto_parser inst = [parser.OFPInstructionActions(ofproto.OFPIT_APPLY_ACTIONS, actions)] mod = parser.OFPFlowMod( datapath=datapath, priority=priority, match=match, instructions=inst ) datapath.send_msg(mod) @set_ev_cls(ofp_event.EventOFPSwitchFeatures, CONFIG_DISPATCHER) def switch_features_handler(self, ev): datapath = ev.msg.datapath ofproto = datapath.ofproto parser = datapath.ofproto_parser # Install default flow entry to send all packets to controller match = parser.OFPMatch() actions = [parser.OFPActionOutput(ofproto.OFPP_CONTROLLER, ofproto.OFPCML_NO_BUFFER)] self.add_flow(datapath, 0, match, actions) @set_ev_cls(ofp_event.EventOFPPacketIn, MAIN_DISPATCHER) def _packet_in_handler(self, ev): msg = ev.msg datapath = msg.datapath ofproto = datapath.ofproto parser = datapath.ofproto_parser in_port = msg.match['in_port'] pkt = packet.Packet(msg.data) eth = pkt.get_protocol(ethernet.ethernet) dst = eth.dst src = eth.src dpid = datapath.id self.mac_to_port.setdefault(dpid, {}) # Learn the MAC address to avoid flooding next time self.mac_to_port[dpid][src] = in_port if dst in self.mac_to_port[dpid]: out_port = self.mac_to_port[dpid][dst] else: out_port = ofproto.OFPP_FLOOD actions = [parser.OFPActionOutput(out_port)] # Install a flow entry to forward the packet to the correct port if out_port != ofproto.OFPP_FLOOD: match = parser.OFPMatch(in_port=in_port, dl_dst=dst) self.add_flow(datapath, 1, match, actions) # Send packet out the correct port out = parser.OFPPacketOut( datapath=datapath, buffer_id=msg.buffer_id, in_port=in_port, actions=actions, data=msg.data ) datapath.send_msg(out) ``` 此文件实现了一个简单的交换机应用程序,其目的是学习MAC地址并使用流表转发数据包。它还添加了一个特定于IP地址的流表,以便可以根据源IP地址和目标IP地址转发数据包。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值