基于SDN的UDP反射攻击响应方案

针对字符发生器协议、域名系统协议、网络时钟协议、简单网络管理协议、简单服务发现协议这5种类型的用户数据报协议(UDP)反射攻击放大器,提出基于入侵检测系统(IDS)的UDP反射攻击响应方案。在定位到反射攻击放大器的前提下,结合网络边界的软件定义网络技术,采用基于OpenFlow流表的响应规则对控制命令报文进行过滤,从而阻止UDP反射攻击。在中国教育和科研计算机网南京主节点的网络边界上的测试结果验证了该响应方案的可操作性和有效性。     

UDP反射DDoS攻击的BAF分析

UDP反射DDoS攻击由于实现简单、效果显著,已成为当前网络攻击的主要手段之一.带宽放大因子BAF（bandwidth amplification factor)是评价放射攻击放大能力的主要测度.在考虑了IP分片报文的条件下采用全报文负载修改了BAF的计算公式,使其能够更加准确地反映反射攻击的放大能力.利用NBOS（network behavior observation system)提供的CERNET（中国教育与科研计算机网)中有19、123、161、1900端口反射行为的主机信息,通过攻击实验获取BAF值.在此基础上,对获取的BAF数据进行了统计和稳定性方面的分析.分析结果表明,19与123端口的BAF总体比较大,但稳定性较差.利用分析的结果对所有放大器的危险程度进行了评价,危险程度高的放大器是在攻击防范中应该重点关注的对象.