Source: Journal of Network and Computer Applications, Vol. 125, No

Slides:



Advertisements
Similar presentations
项目一:计算机网络基础 第一章 认识计算机网络
Advertisements

先介绍计算机网络基础知识,再分析网络视频监 控系统的架构、原理与维护。
朝阳区统计系统 网络基础知识培训 计算机中心
本周复习一下基本的网络知识 下周开始讲解路由器的配置方法 第四周开始到实验室做实验(主楼910,919)
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
《网络基础与Internet应用》.
課程名稱:計算機概論 授課老師:李春雄 博士
第6章 计算机网络基础 1.
2.4 计算机网络基础 什么是计算机网络? 计算机网络有哪些功能? 计算机网络的发展历史? 计算机网络体系结构的内容? 计算机网络如何分类?
第 12 章 UDP 與 TCP.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
《计算机网络技术》 课程整体设计介绍.
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
第2章 计算机网络的协议与体系结构 2.1 计算机网络体系结构的形成 2.2 协议与划分层次 2.3 计算机网络的原理体系结构
计算机网络.
计算机网络 暨南大学计算机科学系 学年 第一学期.
电子商务的网络技术 德州学院计算机系.
第1章 概述.
第8章 系統架構.
数据转发过程.
Foundations of Computer Science Chapter 6 電腦網路
第一章 網路攻防概述.
無智慧報告—網路導論 義守電機 副教授 黃蓮池 在報告前.
10.2 网络安全的基本概念  网络安全的重要性 计算机网络的广泛应用对社会经济、科学研究、文化的发展产生了重大的影响,同时也不可避免地会带来了一些新的社会、道德、政治与法律问题。Internet技术的发展促进了电子商务技术的成熟与广泛的应用。目前,大量的商业信息与大笔资金正在通过计算机网络在世界各地流通,这已经对世界经济的发展产生了重要和积极的影响。政府上网工程的实施,使得各级政府与各个部门之间越来越多地利用网络进行信息交互,实现办公自动化。所有这一切都说明:网络的应用正在改变着人们的工作方
第3章 计算机网络体系结构.
網路基本概念與設定方法 林文宗 資管系助理教授
Author: Shigeki Takeuchi,Hiroyuki Koga, Katsuyoshi Iida,
網路概論.
第 12 章 UDP 與 TCP.
David liang 数据通信安全教程 防火墙技术及应用 David liang
利用 ISA Server 2004 建置應用層防護機制
通訊協定 OSI分層模式 與 TCP/IP協定
Server Load Balancing 飛雅高科技 李村.
網路技術管理進階班---網路連結 講師 : 陳鴻彬 國立東華大學 電子計算機中心.
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
第五章 網際網路 5-1 網際網路的歷史沿革 5-2 網際網路基本運作原理 5-3 連線媒介與連線上網 5-4 網際網路上的熱門應用
Source: IEEE Access, vol. 5, pp , October 2017
TCP/IP Protocol Suite TCP/IP協定 第二組 投影片製作by簡嘉宏 綦凱宏 林睿敏 滕孟哲.
利用Netflow即時偵測蠕蟲攻擊 報告人:王明輝 報告日期:民國95年11月2日.
CS 網路安全 Network Security
第 2 章 TCP / IP 簡介.
在一定程度上 人类的思维产生于 简单个体之间的相互作用 ——Marvin Minsky.
CURELAN TECHNOLOGY Co., LTD Flowviewer FM-800A
什麼是網際網路? 面臨攻擊的網路 網路邊際 總結 網路核心
第二十二章 電子商務網路架構.
第4章 OSI傳輸層.
江西财经大学信息管理学院 《组网技术》课程组
校園網路架構介紹與資源利用 主講人:趙志宏 圖書資訊館網路通訊組.
第5讲 网络层 本讲目的: 概述: 理解网络层服务原理: 因特网的实现实例 网络层的服务 路由选择原理 分层的路由选择 IP协议
第 12 章 UDP 與 TCP 著作權所有 © 旗標出版股份有限公司.
第十三章 TCP/IP 與 Internet 網路連結技術
TANet PROTOCOL ANALYSIS - WIRESHARK - 350.
Westmont College 网络互连 Part 4 (传输协议, UDP and TCP, 协议端口)
常見網路設備簡介 A 周緯龍.
Network Application Programming(3rd Edition)
3.1 通訊協定 3.2 開放系統參考模式(OSI) 3.3 公眾數據網路 3.4 TCP/IP通訊協定
3 電子商務技術.
Source: Journal of Network and Computer Applications, Vol. 125, No
傳輸控制協議 /互聯網協議 TCP/IP.
1.4 计算机网络体系结构与协议 引言 网络系统的体系结构 网络系统结构参考模型ISO/OSI
網路概論 第3章 協定與模型.
指導教授:梁明章 A 許之青 國立高雄大學 2010/06/25
科学架设和优化校园组网结构 提升内部网络访问和管理水平
Speaker : 翁瑄伶 Advisor : 柯開維 博士 Date: 2016/07/31
Internet课程设计 教师:陈 妍 朱海萍 西安交通大学计算机系
網際網路原理 網際網路源起與發展歷史 1968 ARPANET 1973 TCP/IP協定 1976 乙太網路,促成LAN的發展 … DNS
DDoS A 林育全.
SDN Security Introduction
IP Layer Basics & Firewall
第7章 传输层协议——TCP与UDP 任课教师 卢豫开.
Presentation transcript:

DoS Vulnerabilities and Mitigation Strategies in Software-Defined Networks Source: Journal of Network and Computer Applications, Vol. 125, No. 1, pp. 209-219, Jan. 2019 Author: Shu-Hua Deng, Xing Gao, Ze-Bin Lu, Zheng-Fa Li, and Xie- Ping Gao Speaker: Ren-Kai Yang Date: 2019/01/24 3.991 sci 湘潭大學 Memphis

Outline Introduction Preliminary Proposed scheme Performance evaluation Conclusions

(Media Access Control) OSI Application Layer Presentation Layer Session Layer Transport Layer Network Layer Data-link Layer Physical Layer Introduction(1/4) Router Internet Packet Host A? B? C? Switch A Switch B Switch C 應用程式階段:妳打開瀏覽器,在瀏覽器上面輸入網址列,按下 [Enter]。此時網址列與相關資料會被瀏覽器包成一個資料, 並向下傳給 TCP/IP 的應用層; 應用層:由應用層提供的 HTTP 通訊協定,將來自瀏覽器的資料包起來,並給予一個應用層表頭,再向傳送層丟去; 傳送層:由於 HTTP 為可靠連線,因此將該資料丟入 TCP 封包內,並給予一個 TCP 封包的表頭,向網路層丟去; 網路層:將 TCP 包裹包進 IP 封包內,再給予一個 IP 表頭 (主要就是來源與目標的 IP 囉),向鏈結層丟去; 鏈結層:如果使用乙太網路時,此時 IP 會依據 CSMA/CD 的標準,包裹到 MAC 訊框中,並給予 MAC 表頭,再轉成位元串後, 利用傳輸媒體傳送到遠端主機上。 封包經過switch都需要拆解讀取內容再重新組回去傳給別台switch Switch的CPU效能不算太好 這樣的過程效率相對有所缺失 加上當要新增設備及網路服務時 設備的更新不易 需要逐一進行設定 容錯率也低 因而提出SDN網路架構以提升網路效率 Open system interconnection reference model Host MAC (Media Access Control) Port A 00:0A:02:0B:03:0C 1 B 00:05:5D:E8:0F:A3 3 C 00:0C:29:01:98:27 7 Host A Host B Host C

Introduction(2/4) Software-Defined Networks (SDN) SDN Controller

Introduction(3/4) OSI SDN Controller 4 3 Packet-In Secure Channel Application Layer Presentation Layer Session Layer Transport Layer Network Layer Data-link Layer Physical Layer Introduction(3/4) SDN Controller 4 3 Packet-In Secure Channel Packet-Out OpenFlow Agent 2 Host(PC) Switch Unmatch 傳統switch須具備自我學習決定封包傳哪裡和生成樹來避免網路迴圈(基本功能) 1 Host(PC) Flow Table Flow Entry1 Flow Entry2 … Match OpenFlow Switch

Introduction(4/4) MAC Address Table SDN Controller Host A: Port 1 Host C: Port 4 Packet-In Secure Channel Packet-Out Flow Table OpenFlow Switch 1 2 3 4 in-Port: 4, Host A, Output: Port 1 in-Port: 1, Host B, Output: Port 4 傳統switch須具備自我學習決定封包傳哪裡和生成樹來避免網路迴圈(基本功能) Host A Host B Host C

Preliminary(1/3) DoS Attack? Normal ? Denial-of-Service Attack SYN SYN OSI Application Layer Presentation Layer Session Layer Transport Layer Network Layer Data-link Layer Physical Layer Preliminary(1/3) DoS Attack? Denial-of-Service Attack Normal SYN SYN SYN-ACK SYN-ACK Synchronize Acknowledgment TCP, Transmission Control Protocol Syn timeout縮短 給予每麼請求IP一個cookie短時間連續的封包就回報遭受攻擊 以後這個IP的封包就丟棄 ? ACK SYN

Preliminary(2/3) OpenFlow Agent DoS on SDN Networks Unmatch SDN Controller Flow Table Flow Entry1 Flow Entry2 … Match OpenFlow Switch Packet-In Packet-Out OpenFlow Switch MAC Address IP Address Port Number Modification of Host A Host B Attacker

Preliminary(3/3) DoS Attack Results 3000 pps Workload of the OpenFlow Agent Workload of the Secure Channel Workload of the Controller 3000 pps

Proposed scheme(1/4) DosDefender Architecture

Proposed scheme(2/4) Port Management null host connect switch connect LLDP: Link Layer Discovery Protocol TCP: Transmission Control Protocol UDP: User Datagram Protocol null host connect switch connect SDN Controller Packet-In Packet-In TCP/UDP LLDP Host(PC) Packets OpenFlow Switch A OpenFlow Switch B OpenFlow Switch C

Proposed scheme(3/4) Attack Detection & Flow Installing MAC_Port MAC Switch Port Host A 3 Host B 7 Attack Detection & Flow Installing SDN Controller Port_IP Switch Port IP 3 140.134.1.3 7 140.134.1.7 DoS Defender Port Management Attack Detection Flow Rule Installing IP_Portset IP Host Port 140.134.1.3 1234 140.134.1.7 4567 Drop Host(PC) Packets OpenFlow Switch

Proposed scheme(4/4) SDN Controller MAC Address IP Address Port Number MAC_Port MAC Switch Port Host A E1 Proposed scheme(4/4) Host D E4 MAC Address Switch Port Host A E1 Host B E2 Host C E3 Host D E4 SDN Controller Port_IP Switch Port IP E1 140.134.1.1 MAC Address IP Address Port Number E4 140.134.1.4 Host A Host C IP_Portset IP Host Port 140.134.1.1 1234 Attack Detection Packet-In Mac address table keep 300 sec Ethernet規定兩個電腦通訊需要知道對方的MAC address 但不同網域的電腦連線時就算知道MAC還是無法實現 需要透過ARP(Address resolution protocol)經過路由轉發來時實現 E1 OpenFlow Switch E3 140.134.1.4 1234 E2 E4 140.134.1.4 4567 Host B Host D

Performance evaluation(1/3) MAC Attack Protection IP Attack Protection

Performance evaluation(2/3) Port Number Attack Protection Protection on the Secure Channel

Performance evaluation(3/3) CPU Usage Memory Usage

Conclusions Simple Prevent attack traffic