[0040] 以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
[0041] 本发明应用于SDN网络架构中,SDN即软件定义网络(Software Defined Network,SDN),是Emulex网络一种新型网络创新架构,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制。
[0042] 如图1所示,本发明提供一种SDN控制器1,应用于包括客户端2、服务器端3、及连接所述客户端2及服务器端3间的路由/交换设备4(例如交换机或路由器)的SDN网络中,所述SDN控制器1包括:储存模块41、及流表生成模块12。
[0043] 所述建立模块11,用于建立合法TCP连接表、非法TCP半连接表和非法TCP半连接数目表并送至所述路由/交换设备4储存。在一实施例中,所述合法TCP连接表记录合法客户端2的TCP连接,其表明了合法的TCP请求用户,匹配合法TCP连接表的TCP SYN请求报文将被转发到TCP服务器进行处理;在一实施例中,所述合法TCP连接表应包含源IP地址、目的IP地址、源TCP端口及目的TCP端口信息的相关条目以对报文的四元组信息进行匹配,此内容会于后文作详细描述;非法TCP半连接表表明了正在攻击的黑客用户或处于TCP半连接的用户,而所述非法TCP半连接数目表表明各个所述非法TCP半连接的次数,所述非法TCP半连接表应包含源IP地址、目的IP地址、源TCP端口、及目的TCP端口信息的相关条目。在一实施例中,所述合法TCP连接表、非法TCP半连接表和非法TCP半连接数目表是可以流表形式发送并保存于所述路由/交换设备4设备的,当然亦可通过其他方式,仅需便于查找匹配即可,并非以此为限。
[0044] 所述流表生成模块12,用于在所述网络受到攻击(例如为TCP泛洪攻击)时,生成含有过滤动作类型的流表并下发至所述攻击者所在入口路由/交换设备4(例如离攻击者最近的路由器或交换机,即图示路由/交换设备A),以控制所述路由/交换设备4据以执行对应的过滤策略。在一实施例中,例如在SDN控制器1下发交换机或路由器的OpenFlow流表中增加了包含执行过滤的动作类型(ACTION)的流表项,该流表项还可包括用于将需要防范攻击的对象(例如需要防御的服务器端3IP地址)作为对应所述过滤动作类型的匹配字段,在交换机匹配到相关的攻击信息时,可对应执行所述过滤动作。
[0045] 在一实施例中,所述SDN控制器1可通过进行全网的路径分析而了解流量分布,从而定位可能的攻击者,
[0046] 本发明对于同一匹配目的IP的数据流而根据合法TCP连接表、非法TCP半连接表和非法TCP半连接数目表内容,在入口路由器侧实现对攻击报文的入口过滤,具体来说,在一实施例中,如图2所示,所述过滤策略包括:
[0047] (a)在所述入口路由/交换设备4接收到来自客户端2的SYN请求报文时,根据所述SYN请求报文的四元组信息在所述合法TCP连接表中进行匹配,其中,所述四元组信息包括:源IP地址、源TCP端口、目的IP地址和目的TCP端口;
[0048] (b)若在所述合法TCP连接表中匹配,则转发所述SYN请求报文;优选的,刷新合法TCP连接表,所述合法TCP连接表可具有硬件老化功能,所述刷新指的是指合法TCP连接表中条目被命中并重新老化;
[0049] (c)若在所屈合法TCP连接表中不能匹配,则将所述四元组信息在所述非法TCP半连接表中匹配;
[0050] (d)若在所述非法TCP半连接表中匹配,则丢弃该SYN请求报文并更新所述非法TCP半连接表;
[0051] (e)若在所述非法TCP半连接表中不能匹配,则根据四元组信息中的目的IP地址在所述非法TCP半连接数目表中查找对应的TCP半连接数;
[0052] (f)判断所述目的IP地址的TCP半连接数是否达到预设阈值;在一实施例中,所述的达到为大于或等于;
[0053] (g)若达到所述预设阈值,则增加所述SYN请求报文对应条目至所述非法TCP半连接表,并将此目的IP地址的TCP半连接数加1,并向所述服务器转发所述SYN请求报文;在入口路由/交换设备4收到所述SYN请求报文的ACK报文时,转发所述ACK报文,并将所述增加条目从所述非法TCP半连接表移至合法TCP连接表,并将此目的IP地址的TCP半连接数减1;
[0054] (h)若未达到所述预设阈值,则丢弃所述SYN请求报文,向所述客户端2发送SYN加ACK报文,并检查客户端2是否反馈ACK报文;
[0055] (i)若所述客户端2有反馈ACK报文,则增加对应所述SYN请求报文的条目至所述合法TCP连接表,并向所述客户端2发送RST报文;
[0056] (j)若所述客户端2未反馈ACK报文,则增加对应所述SYN请求报文的条目至所述非法TCP半连接表,并向所述服务器端3发送相关的RST报文。
[0057] 在一实施例中,优选的,SDN网络中的交换机在硬件上需要支持合法TCP连接表、非法TCP半连接表和非法TCP半连接数目表;本发明将SDN网络中的交换机的控制面都上移到SDN控制器1,交换机只保留数据面,而支持扩展的SDN网络内流表(例如SDN控制器1下发流表)和OpenFlow协议;SDN控制器1和交换机还需要支持扩充OpenFlow流表指令集,为支持防御TCP泛洪攻击而新增流表Action类型例如名称为:“OFPAT_ANTI_TCP_FLOODING”;SDN交换机在硬件上支持合法TCP连接表和非法TCP半连接表的新增,删除和老化,并且也可支持非法TCP半连接数目表的动态统计。
[0058] 在一实施例中,所述非法TCP半连接表中的条目具有老化时间即例如硬件老化功能,用户可以根据实际需求修改老化时间,需要注意的是老化时间需要在下个老化周期生效。缺省的老化时间为75秒,和伯克利实现的TCP连接总的超时时间保持一致。
[0059] 所述增加对应所述SYN请求报文的条目至所述非法TCP半连接表,并向所述服务器端3发送相关的RST报文,包括:在所述非法TCP半连接表中找到最老的条目,产生对应的RST并发送给所述服务器端3;生成对应所述SYN请求报文的条目来替换所述最老条目;在一具体实施例中,可参考图3的示例。
[0060] 在一实施例中,当支持SDN的入口路由器收到RST或者FIN报文,并且在合法TCP连接表中匹配到有效条目,系统将从合法TCP连接表中删除相关条目。则所述过滤策略包括:在所述入口路由器收到RST或FIN报文时,根据所述RST或FIN报文的四元组信息在所述合法TCP连接表中进行匹配,其中,所述四元组信息包括:源IP地址、源TCP端口、目的IP地址和目的TCP端口;若在所述合法TCP连接表中匹配,则从所述合法TCP连接表中删除所述RST或FIN报文的相关条目;在一具体实施例中,可参考图4的示例。
[0061] 在一实施例中,所述SYN加ACK报文包含根据所述SYN请求报文的四元组信息生成的加密信息;所述反馈ACK是通过解密所述加密信息而生成的,以证明所述客户端2合法。
[0062] 具体来讲,当TCP的半连接数没有超出指定的阈值,TCP SYN请求报文将会被透传给TCP服务器,否则SDN交换机向客户端2发送一个类似的SYN+ACK消息,在这个消息中,所述加密信息(例如序列号形式)是服务器根据客户端2的IP地址、端口号、服务器的IP地址、端口号以及时间等通过一个加密的函数生成的,所述加密算法可以为现有的加密算法或自定义的加密算法;当接收到从客户端2发来的ACK报文时,针对这个SYN+ACK报文的ACK报文,将表明这是一个合法的TCP客户端2,因为非法的TCP客户端2不可能解密SYN+ACK报文中的加密信息而反馈ACK报文的;路由/交换设备4将向TCP客户端2发送RST报文来忽略第一次SYN请求,同时增加对应的条目到合法TCP连接表;此合法用户的第二次SYN请求由于匹配到合法TCP连接表而被正常处理;如果客户端2并没有响应SDN交换机发送的SYN+ACK消息,此SYN请求报文将被当作攻击报文被丢弃,同时需替换非法TCP半连接表中最老的条目;具体处理流程请参照图5。
[0063] 如图6所示,结合上述内容,本发明所提供的路由/交换设备4,网络连接于客户端2及服务器端3间并连接于SDN控制器1,所述路由/交换设备4包括:储存模块41,用于储存合法TCP连接表、非法TCP半连接表和非法TCP半连接数目表;过滤控制模块42,用于从所述SDN控制器1接收含有过滤动作类型的流表,以控制所述路由/交换设备4据以执行对应的过滤策略;其中,所述流表是由所述SDN控制器1在所述网络受到攻击时,生成并下发的。
[0064] 如图7所示,本发明提供一种网络防御方法,应用于包括客户端、服务器端、及连接所述客户端及服务器端间的路由/交换设备、及控制各所述路由/交换设备的SDN控制器的网络中,所述方法同上述实施例中的技术原理大致相同,因此以下对部分重复的技术细节将不再赘述;所述方法包括:
[0065] 步骤S1:在所述SDN控制器建立并储存合法TCP连接表、非法TCP半连接表和非法TCP半连接数目表;
[0066] 步骤S2:在所述网络受到攻击时,生成含有过滤动作类型的流表并下发至所述攻击者所在入口路由/交换设备,以控制所述路由/交换设备据以执行对应的过滤策略。
[0067] 在一实施例中,所述过滤策略包括:在所述入口路由/交换设备接收到来自客户端的SYN请求报文时,根据所述SYN请求报文的四元组信息在所述合法TCP连接表中进行匹配,其中,所述四元组信息包括:源IP地址、源TCP端口、目的IP地址和目的TCP端口;若在所述合法TCP连接表中匹配,则转发所述SYN请求报文;若在所屈合法TCP连接表中不能匹配,则将所述四元组信息在所述非法TCP半连接表中匹配;若在所述非法TCP半连接表中匹配,则丢弃该SYN请求报文并更新所述非法TCP半连接表;若在所述非法TCP半连接表中不能匹配,则根据四元组信息中的目的IP地址在所述非法TCP半连接数目表中查找对应的TCP半连接数;判断所述目的IP地址的TCP半连接数是否达到预设阈值;若达到所述预设阈值,则增加所述SYN请求报文对应条目至所述非法TCP半连接表,并将此目的IP地址的TCP半连接数加1,并向所述服务器转发所述SYN请求报文;在入口路由/交换设备收到所述SYN请求报文的ACK报文时,转发所述ACK报文,并将所述增加条目从所述非法TCP半连接表移至合法TCP连接表,并将此目的IP地址的TCP半连接数减1;若未达到所述预设阈值,则丢弃所述SYN请求报文,向所述客户端发送SYN加ACK报文,并检查客户端是否反馈ACK报文;若所述客户端有反馈ACK报文,则增加对应所述SYN请求报文的条目至所述合法TCP连接表,并向所述客户端发送RST报文;若所述客户端未反馈ACK报文,则增加对应所述SYN请求报文的条目至所述非法TCP半连接表,并向所述服务器端发送相关的RST报文。
[0068] 在一实施例中,所述SYN加ACK报文包含根据所述SYN请求报文的四元组信息生成的加密信息;所述反馈ACK是通过解密所述加密信息而生成的,以证明所述客户端合法。
[0069] 在一实施例中,所述非法TCP半连接表中的条目具有老化时间;所述增加对应所述SYN请求报文的条目至所述非法TCP半连接表,并向所述服务器端发送相关的RST报文,包括:在所述非法TCP半连接表中找到最老的条目,产生对应的RST并发送给所述服务器端;生成对应所述SYN请求报文的条目来替换所述最老条目。
[0070] 在一实施例中,所述过滤策略包括:在所述入口路由器收到RST或FIN报文时,根据所述RST或FIN报文的四元组信息在所述合法TCP连接表中进行匹配,其中,所述四元组信息包括:源IP地址、源TCP端口、目的IP地址和目的TCP端口;若在所述合法TCP连接表中匹配,则从所述合法TCP连接表中删除所述RST或FIN报文的相关条目。
[0071] 综上所述,本发明提供一种SDN控制器、路由/交换设备及网络防御方法,应用于包括客户端、服务器端、及连接所述客户端及服务器端间的路由/交换设备的网络中,本发明在所述SDN控制器建立并储存合法TCP连接表、非法TCP半连接表和非法TCP半连接数目表;在所述网络受到攻击时,生成含有过滤动作类型的流表并下发至所述攻击者所在入口路由/交换设备,以控制所述路由/交换设备据以执行对应的过滤策略;本发明采用了SDN架构,能够感知攻击者的位置,并通过下流表到入口路由器的方式动态地实现对攻击报文的入口过滤,并可结合加密的SYN加ACK报文及回复ACK的机制准确确定被归类为攻击的数据报文,解决了未将攻击请求报和正常请求报区别对待的问题,且即使黑客发起TCP泛洪攻击,也不会影响TCP服务器对合法用户的请求处理。
[0072] 上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所屈技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
