SDN与DDoS攻击关系
软件定义网络(softwaredefinednetworking,简称SDN),将传统封闭的网络体系解耦为数据平面、控制平面和利用平面,是对传统网络基础设施的重构,目前已在网络虚拟化、数据中心网络、无线局域网等领域得到利用。
SDN的思想是将更多的控制权交给网络使用者,除设计部署、配置变更,还可以进行网络软件的重构。SDN和散布式谢绝服务(DistributedDenialofService,DDoS)攻击之间存在着对峙关系,SDN的功能使其易于检测和对DDoS攻击做出反应。SDN具有很多良好特性,这些特性为抵抗DDoS攻击提供了很多优势。
目前应对DDos攻击的经常使用防护手段主要有两个方式:(一)通过硬件装备对攻击流量进行监测(通过防火墙对DDoS流量进行辨认),辨认后对攻击流量进行过滤。这类方法防护能力基于硬件的配置,同时硬件的配置也是全部防护体系的瓶颈。如今,DDoS攻击的流量愈来愈大,单纯依托硬件进行防护已没法满足需求,而且大流量节点部署时,装备扩容本钱较高。(二)通过黑洞路由进行防护,当发现DDoS攻击的时候,把被攻击对象的IP地址加入路由黑洞,从网络中将DDoS攻击流量进行过滤。这类防护手段的不足在于没法辨别哪些是正常使用流量,哪些是异常DDoS流量,因此该方法可能会影响到正常的流量且访问控制列表(AccessControlLists,ACL)难以保护。
