一个有效的高通量和低延迟SYN洪水后卫的高速网络

文摘

作为一个主要类型的分布式拒绝服务(DDoS)攻击,SYN洪水攻击造成严重的问题对于服务器当合法客户端可能被拒绝连接。是一个重要的要求有足够的方法来减轻SYN洪水攻击。在本文中,我们引入一个有效的高通量和低延迟SYN洪水后卫架构,精心设计的管道模型。数学模型与架构还介绍了估算SYN防洪吞吐量和延迟。第一个原型版本基于体系结构与Verilog-HDL可以作为独立的缓解高速SYN洪水攻击,可以集成到一个OpenFlow开关来处理网络数据包。我们与NetFPGA-10G平台实验表明,核心可以保护服务器免受SYN洪水攻击28 +每秒数百万数据包优于文献中最著名的基于硬件的方法。

1。介绍

随着科技的快速发展以及网络体系结构、网络安全等成为主要问题组织商业交易,银行、军事网络。赛门铁克(1)表明,网络罪犯可能利用神往的之间的沟通渠道(物联网)设备进行整体神往的攻击在2017年增加了600%。根据思科网络安全报告(2),尽管全球网络流量提高安全通过使用加密技术,仍然存在42%的组织已经面临着DDoS攻击。其中,TCP SYN洪水攻击(3)是最受欢迎的DDoS攻击类型和广泛使用,因为SYN包默认情况下不太可能被拒绝。因此,一个健壮的SYN洪水后卫方法是一个重要的需求。

在过去的几十年里,绝不认输的扩张和本地网络系统导致传统网络体系结构的演变。Software-Defined-Networking (SDN) [4)从数据平面解耦控制平面的引入了优势相比传统网络体系结构如集中式网络配置,整体企业管理,降低运营成本5]。然而,SDN架构存在安全漏洞的控制平面和数据平面和通信通道。SDN系统可以很容易地分解自TCP SYN洪水攻击的通信通道。为了克服这个关键的安全问题,加强控制平面的处理能力使用软件方法,比如工作(6- - - - - -8),研究。然而,这些研究的主要缺点是使用控制器的资源执行安全功能而控制器饱和攻击的目标。近年来,一些智能过程控制飞机数据SDN[飞机成为一个趋势9,10特别是数据飞机硬件平台建成的。飞机、智能数据控制器和沟通渠道不受攻击,因为威胁是可以预防的。

在这项工作中,我们提出一个有效的高通量和低延迟SYN洪水后卫高速网络。SYN洪水后卫被设计用来处理传入的数据包在管道模型增加吞吐量和减少延迟。拟议的架构是独立于技术,这样我们的SYN洪水后卫可以由不同的硬件实现技术,如ASIC或FPGA。此外,我们的目标是提出SYN洪水后卫核心融入SDN数据飞机;因此需要SDN协议提出的体系结构和体系结构。我们实现拟议的SYN洪水后卫架构Verilog-HDL不使用任何知识产权(IP)的核心。核心是集成到FPGA SDN-based OpenFlow switch建在我们的以前的工作11]。大量的测试场景进行合成数据和真实网络数据使用开关来验证和评估建议的体系结构和核心。这项工作的主要贡献在两个褶皱进行了总结。(1)我们提出一个有效的高通量SYN洪水后卫硬件架构,可以分析网络数据包,以防止高速SYN洪水攻击。SYN洪水后卫架构可以在管道执行提高吞吐量和性能。我们也提出一个数学模型对评估性能和带宽的核心。这个估计模型然后由我们的实验验证。(2)我们建议的体系结构的实现Verilog-HDL不使用任何IP核心的SYN洪水后卫可以基于不同的技术核心。核心是集成到FPGA SDN-based OpenFlow switch构建NetFPGA-10G董事会(12]。我们所知,这是第一个SDN-based OpenFlow switch SYN洪水后卫集成,可以防止SYN洪水攻击的攻击速度超过每秒2800万包最大0.248毫秒延迟。

接下来的工作是组织如下。部分2提出背景和讨论相关工作。部分3介绍了我们提出的SYN洪水后卫体系结构和数学模型来评估系统的性能。部分4说明了实施提出SYN洪水后卫核心和FPGA SDN-based OpenFlow开关。我们评估和分析系统的部分5。最后,结论和未来的工作进行了部分6。

2。背景和相关工作

在本节中,我们首先提出TCP SYN洪水攻击的背景基础上,我们提出有效的高通量和低延迟SYN洪水后卫高速网络。然后我们介绍相关工作的文献主要集中在防止SYN洪水攻击。

2.1。背景

TCP SYN洪水攻击机制利用TCP三方握手协议收购目标服务器资源和防止合法的客户提供服务。图1(一)描述了三方握手过程的正常的服务器,而图1 (b)代表一个SYN洪水后卫系统。不同于正常转发设备,一个SYN洪水后卫代表保护服务器反馈SYN-ACK数据包SYN cookie技术应用(16]。后卫然后用一个合适的ACK数据包进行身份验证机制(RST包)在部分稍后讨论4。验证客户端在收到RST包让下一个SYN包访问受保护系统。

防止SYN洪水攻击,防御系统可以放置在源头,受害者,或网络方面(17]。共同的弱点SYN防洪系统部署在源国资源的大量消耗在高效的攻击。基于软件的方法,比如[16,18,19),旨在最小化存储信息,但增加网络数据包的延迟。相比之下,基于硬件的方法,由现场可编程门阵列(FPGA) [20.]或专用集成电路(ASIC) [21并行处理),用作高效平台构建SYN洪水防御系统。硬件方法的主要优点是并行处理和低延迟,适用于防止高速SYN洪水攻击。然而,仍然存在一些局限性,如低可伸缩性、实施成本高,高复杂性尚未优化设计。

2.2。相关工作

在文献中,存在一些研究集中在TCP SYN洪水攻击预防。跳数过滤(22,23)创建一个IP-addresses-mapping表并观察跳跃数(TTL)数据包检测攻击的跳跃数不匹配时期望值。另一个机制,IP谜题(24),使得源服务器发送一个谜客户解决这一难题的请求进行身份验证。TCP回复参数探测包(25]承认欺骗数据包通过请求来源改变窗口大小的数据包的价值。现有的TCP SYN洪水攻击预防机制总是需要保护系统来存储客户信息等待验证过程完成;从而减少系统内存容量。在另一个方面,伯恩斯坦提出了一个SYN cookie技术(16),这被广泛使用,因为重建包的能力只是基于可用的信息。工作(26)进行了试验研究的应用SYN cookie和评论两个SYN cookie实现在Linux和FreeBSD操作系统。SYN Cookie在Linux上编码一个初始饼干数量使用时间戳和一个加密散列值在FreeBSD, SYN和SYN Cookie缓存技术的结合应用。这两个操作系统使用不同的哈希函数来生成加密散列值;Linux甚至插入一个密钥来加强这个值。

基于软件的方法如SYNkill [18防止浪费资源通过生成RST和ACK数据包根据客户端请求。入口过滤(27]块攻击通过比较源与存储白名单地址将数据包转发,而石(28相比之下)汇集了所有地址和常规交通。SYNMON [29日)使用一个网络处理器和CUSUM检测攻击的方法。特区(30.)构建三个单位包括观察、交通治安,速率限制,然后执行速率限制方法减轻攻击。工作(31日布鲁姆过滤器适用于存储交通信息和检测攻击使用CUSUM方法然后减轻攻击使用入口过滤器和速度限制机制。布隆过滤器用于(32)检测攻击客户重新发送请求到服务器时攻击。

其他机制来防止TCP SYN洪水攻击是利用网络架构。VSSF [17)要求客户发送ACK数据包转发数据包通过注册表前一个FPGA平台,因此消耗硬件资源和生产延迟期间高效的攻击。SLICOTS [13]显示器包率和安装临时转发规则,直到客户端身份验证减轻攻击数据包的控制器。(太前卫了14)建立一个连接迁移模块迁移SYN洪水攻击。这个模块是服务器和使用完成TCP SYN cookie技术三方握手。而不是发送RST包验证连接像我们提出的机制后,连接迁移繁殖并执行TCP SYN数据包三方握手到服务器。因此,先锋派需要同步序列号的连接通过存储之间的差异两个序列号,必须修改数据包属于这些连接。这种行为会产生高开销的响应时间。研究[15)结合了SYN cookie SDN表数据流技术和变化飞机SYN洪水攻击。流表的提出采取优势SDN存储一些转换规则,含有未知的初始饼干数字,然后使用OpenFlow协议修改数据包的能力。这种机制将减少计算资源但消费更多的空间在流表。

3所示。系统设计

在本节中,我们提出我们的基于硬件的SYN洪水后卫体系结构,可以作为一个扩展等其他系统的入侵检测系统(IDS)和OpenFlow开关,防止高速SYN洪水攻击。与其他方法的文献,提出保护的核心不会减少数据包的处理性能系统由于流水线处理模型。我们也提出一个数学模型估计的吞吐量和延迟我们提出硬件SYN洪水后卫架构。

3.1。总体架构

整合的目的,我们的SYN洪水核心后卫能够接收数据从两个不同的来源:网络和一个关联的主机控制器。数据来自主机控制器将配置的核心以及收集统计信息。与不同领域的数据来自网络数据包需要处理。图2介绍了基于硬件的SYN洪水后卫体系结构提出了一种可以函数在五个管道阶段提高吞吐量。阶段分为五个过程;每个人负责一个特定步骤根据SYN洪水防御算法。下面的章节将讨论主要流程的核心。

3.1.1。头提取

做的头提取头器模块,主要负责分析传入的数据包来收集所需的头字段。这些提取的字段是转发到下一个阶段的三个模块进一步扫描。完整的数据包也存储在先进先出检查后进一步处理。在这个过程中,一个32位的计数器模块中发挥着重要作用生成的数字将被用于创建Cookie数据根据TCP三方握手协议。这些饼干的数字必须不同循环周期。生成的号码是转发到下一个管道阶段。

3.1.2。报文分类

后传入的数据包的接收头字段生成的头抽提过程在第一个管道阶段,报文分类过程分类数据包分成三个不同的组包括SYN包,ACK包,和其他包,做的数据包分类器模块。然后转发到分类结果探测器模块,位于第三阶段,识别SYN洪水攻击。随着对数据包进行分类,报文分类过程也开始产生指数和饼干数字用我们建议的散列算法。这两个子流程指数创(IDG)和饼干创(CKG)跨越两个阶段,第二和第三阶段,通过使用两个模块,IDG第一阶段和IDG第二阶段对于前者,CKG第一阶段和CKG第二阶段后者。而IDG第一阶段和CKG第一阶段接收特定的头字段中提取的头提取过程中,另外两个模块生成数字使用散列技术。

3.1.3。SYN攻击食品检测

这个过程中,执行的探测器模块,主要负责根据信息检测SYN洪水攻击数据包分类器模块。这个模块可以被认为是为核心提出了SYN洪水的核心后卫因为进一步加工处理SYN洪水攻击取决于模块的结果决定的。这个模块生成的结果,调用SYNFlood信号,提醒其他模块的核心如果存在SYN洪水攻击。

在这项工作中,我们提出维护SYNFlood当下列情形之一发生的信号。条件1:SYN包的数量在一个时间间隔超过一个阈值;条件2:SYN包的数量大于ACK数据包的数量一个阈值在一个特定的时间间隔。这两个阈值和时间间隔值是由网络管理员通过相关的主机控制器。换句话说,这些值是可重构的。

更多细节的检查过程中给出的算法1。在该算法中,数据包的数量(SYN ACK,称为和 ,)在一个特定的时间间隔(称为 )与分组类型在TCP_flag相应更新。最后的时间间隔( ),检查两个提到的条件来确定系统的状态下(攻击)。计数器变量的SYN ACK数据包也重置。只要满足其中一个条件是,SYNFlood信号是宣称至少在一个区间。这个信号是年底deasserted间隔时两种情况下并不适用于当前的区间。

3.1.4。决定代

这个过程中,执行的决定控制器第四阶段的管道模块架构,负责合成的结果数据包分类器,探测器,IDG第二阶段,CKG第二阶段模块决定输入的网络数据包。基于信息从SYN洪水攻击检测过程决定控制器模块问题的结果处理包修改过程在接下来的阶段:SYN包转换成SYN-ACK数据包与客户握手时存在SYN洪水攻击;生成重置(RST)数据包识别客户为了让这些客户和保护服务器的连接;绕过SYN包时保护服务器属于合法的客户。决策结果一起头字段然后转发到下一个流程,包修改进行进一步处理。随着SYN洪水攻击检测过程,决定生成过程中发挥着关键作用在保护服务器SYN洪水攻击,但是,真理允许客户端连接到受保护的服务器。而探测器模块保持扫描SYN包识别攻击,决定控制器模块,代表服务器执行三通TCP握手协议与客户在袭击发生。当不存在(攻击SYNFlood信号deasserted), SYN包直接绕过保护服务器,客户端和服务器之间的连接可以及时。这个过程的更多细节提出了算法2。

决定生成过程,首先,检查生成的结果探测器模块。虽然存在至少一个SYN洪水攻击流,需要执行一系列的行为来保护服务器,即。,防止非法的SYN包到服务器(算法中的三分之一的行2)。换句话说,SYN洪水后卫核心是激活验证服务器的客户代表。相反,当探测器模块不确定任何攻击,SYN数据包直接切换到服务器,减少算法的延迟(20 - 22行2)。换句话说,核心在此期间只监视,并将传入的SYN包转发没有使得服务器通信。

TCP SYN洪水攻击,如部分所示2。1,通常利用三通TCP握手协议通过发送大量的SYN包到目标服务器,这些服务器需要反应SYN-ACK反馈数据包。由于大量的传入的SYN请求,服务器通常不能为其他客户服务。为了克服攻击,即。,preventing attacking SYN packets arrive the protected server, our core takes over the server to feedback attacking clients (sending SYN-ACK packets to Response SYN packets) while attacks are recognized. Therefore, the server can serve other connected clients. According to the SYN flood attacks method, attackers will not answer to SYN-ACK packets sent by the target server or SYN defender core while normal clients will respond by sending back ACK packets.

SYN洪水攻击期间,可能存在安全的客户也要连接到服务器。因此,核心后卫应该能够识别真理的客户。这种行为显然是在算法描述2(5 - 9行),命名响应阶段。在反应阶段,一个SYN包,过程检查历史数据包到达是否从一个已知的客户或新客户(第5行)。一个已知的客户意味着这个客户已经完成了我家的TCP握手的核心和之前收到的核心一个RST包发送第二个SYN包。SYN包直接从已知的客户转发到受保护的服务器(第7行),而SYN包从未知客户转换为SYN-ACK包验证未知客户(9行)。然而,连接到目标服务器之后,一个已知的客户可能成为一个SYN洪水攻击者,例如,由于病毒感染。因此,已知的客户端刷新从历史成为一个未知的客户端连接到目标服务器之后这新连接由客户在未来将再次验证(第6行)。

归类为真实客户端,客户端在收到SYN-ACK数据包从目标服务器应该回答一个ACK数据包与特定ACK数量到服务器。这个ACK的数字必须从一个数字,计算增加一个名为Cookie,附加SYN-ACK包。基于此ACK,目标服务器可以验证客户端,并将它添加到已知的客户。我们实现这个验证行为从12到16行算法2,名叫身份验证阶段。验证客户端后(饼干为这个客户数量增加,附加反馈ACK包),核心的重新发送一个RST包到客户端(14)行。然后客户端开始第二次握手连接到服务器,因为客户端已经成了一个已知的客户端。

3.1.5。包修改

这是最后的过程主要是由负责执行决定决定控制器模块。类似于头提取,这个过程也需要一个阶段处理包,执行的包修改器模块。全包的FIFO时转发到受保护的服务器绕过决定发行。请注意这些数据包可以SYN包等已知的客户或其他类型的数据包有效载荷数据包从连接的客户机或控制相关主机生成的数据包。相比之下,数据包在FIFO的重建与新信息和发送回客户端SYN转化为SYN-ACK或将ACK转换为RST决策是释放。这些数据包SYN数据包从未知客户或ACK数据包来自客户的验证过程。

3.2。性能分析

虽然SYN洪水后卫核心是仔细设计五个阶段管道模型和FPGA平台可用于实现的核心,系统性能仍然可以遭受降级由于检查数据包的延迟。在本节中,我们分析方面的建议的体系结构的性能延迟和带宽。在这工作,延迟是额外的百分比(%)数据包处理时间比原来的处理时间没有SYN洪水的保护。与此同时,带宽被认为是最大的吞吐量(每秒位数)SYN洪水后卫核心可以处理在一个FPGA平台实现。

3.2.1之上。延迟

估计的平均延迟核心,我们假设传入的数据包利率不超过最大吞吐量的硬件平台构建的核心。换句话说,所有传入数据包接受没有任何下降。考虑一组包各种包长度(位/包);这些数据包分为组织根据其大小。让我们调用数据包的数量( )和这组包的长度。假设是连接客户和渠道的最大吞吐量目标服务器,没有SYN洪水后卫的核心。的最小时间计算数据包到达目标服务器

当提出核心添加保护目标服务器,数据包转发到服务器之前研究的核心。因此,额外的处理时间(延迟)将引入的核心。然而,由于管道模型,第一个数据包到达服务器之后,一个数据包处理每一个时钟周期。假设,在数据包SYN数据包到达核心未知来源。的时间间隔服务器包来保护我们的核心是估计(假设这些数据包不断发送到服务器)。 在哪里代表的时钟周期数第一数据包通过我们的核心(也等于管道阶段的数量)的时钟频率是硬件平台用于部署我们的SYN洪水的后卫。常数之间的握手协议引入的开销值和未知的核心客户。这个值的更多细节部分进一步讨论5。

延迟发布的核心是基于估计的计算和所示值 在(3),频率 ,数量的阶段 ,和恒定值依赖于系统设计。因此,延迟价值主要是由数据包的数量决定的 ,包大小 ,和通道最大吞吐量 。

3.2.2。吞吐量

来估计系统的最大吞吐量能够接受传入的数据包没有下降,我们假设的核心是部署在特定的硬件平台。该平台可以接收最多位/处理由于时钟周期 - - - - - -位总线带宽内的平台。因此,传入的数据包支离破碎 - - - - - -一些帧。这意味着,对于一个特定的 - - - - - -字节数据包,核心要求时钟周期为收到估计 在恒定值值的字节数称为interpacket差距(33)两个包之间使用定义的协议。的TCP协议IPv4,这个值是4个字节(33]。

的最小时间间隔的核心可以接收数据包正如上一节所讨论的,当这些数据包流不断核心,估计

由于管道设计、核心接收的总时间和扫描所有数据包估计

因此,核心的吞吐量可以估计在吗

DDoS攻击像SYN洪水发生时,攻击者发送极其大量的数据包不断关闭系统。在这种情况下,带宽的核心估计(7)可以简化为

4所示。系统实现

在本节中,我们介绍我们的第一个原型版本提出SYN洪水后卫核心部署在一个特定的FPGA平台。然后显示核心的集成到转发平面的OpenFlow switch SDN网络。

4.1。fpga SYN洪水后卫核心实现

开发的第一个原型版本提出SYN洪水后卫核心,我们使用一个NetFPGA-10G董事会包括Xilinx Virtex 5 xc5vtx240t设备。实现所提出的架构在前面的小节中,Verilog-HDL手动用于开发模块,这样的核心;即。,it is possible to port the core to other FPGA platforms. For this version, the PCIe interface is used for communicating with the associated host Controller while the four SFP+ ports with maximum half-duplex throughput at 10Gbps per port are used for incoming network packets. Standard Xilinx AXI4 lite [34)作为核心内的主要互连(连接输入端口与核心内部的模块)。因此,框架大小( )在这个原型版本是256位(32字节)。下面,我们强调的主要分模块内部的核心在以下段落。

以下4.4.1。头器

该模块负责提取以太网(35]和[TCP / IP报头字段36传入的数据包。图3显示提取的字段和他们的位置在一个网络包。虽然头器在部分通用体系结构3所示。1只需要一个阶段管道,我们需要把这个模块分成子(头器1和头器2在一个管道阶段),每一个周期由于NetFPGA-10G平台的限制。平台只支持32字节的总线带宽(37而提取的头字段包含64字节。这些头字段然后转发到其他模块的下一个阶段。

4.1.2。IDG第一阶段和IDG第二阶段

节中解释3所示。1,该指数生成过程需要两个步骤,由两个分离处理模块(IDG第一阶段和IDG第二阶段)发行一个索引号为特定客户基于IP源和目标字段。图4说明了细节的行为过程。根据图,CRC散列算法用于发出10位指数为客户这样的核心可以识别客户端。10位指数,核心可以管理多达1024个不同的客户,要连接到受保护的服务器。换句话说,知道客户的列表可以在最大1024件。然而,在验证根据三通TCP协议,客户端将被删除从已知的客户名单。

4.1.3。CKG第一阶段和CKG第二阶段

同样,索引生成过程,饼干生成过程也需要两个阶段(两个时钟周期),由两个完成的CKG第一阶段和CKG第二阶段模块,问题32位饼干数字,这样可以验证核心客户。图5表示两个模块的细节和32位Cookie数据生成。基于32位,64位IP源和目标,和32位的TCP / UDP源和目标端口字段前阶段,提取模块产生24位CRC散列数字和构建32位的饼干。这些饼干未知数据发送回客户与服务器连接。

4.1.4。探测器

此模块主要实现算法中给出的检测算法1认识到SYN洪水攻击。图6介绍了硬件结构探测器模块。模块接收到一个8位标记描述被扫描数据包。基于这个标志,模块数量SYN和ACK数据包的数量,做的包计数器子模块。随着这种计算行为,根据设置一个计时器价值由管理员决定。的子模块参数控制器保持所有参数和阈值(和 )。的检查计时器子模块负责触发比较器每一个模块时间计算值进行比较包计数器和预定义的阈值。根据比较的结果SYNFlood信号是断言或deasserted宣布决定控制器系统中的模块对SYN洪水攻击。

4.1.5。决定控制器

这个模块主要负责执行决策算法在算法2。模块的详细结构见图7。模块包含2子,命名控制器和已知客户表。根据算法模块接收到一个索引号(10位)和饼干数量(32位)被扫描数据包,该协议标志(8位)和TCP标志(8位)提取数据包的头字段,ACK数量(32位)的ACK数据包从客户机发送的SYNFlood信号从探测器模块。

的控制器子模块检查SYNFlood信号和其他信息发布相应的决策算法2。当SYNFlood信号是错误的,即。,SYNflood attacks do not exist, all arriving packets are forwarded to the server to reduce latency. WhenSYNFlood信号是断言,SYN包来自未知客户激活验证过程;即。,converting SYN to SYN-ACK is issued. SYN packets coming from known clients (existing in the已知客户表)的受保护的服务器和信息转发给这些客户就会从表中删除部分中解释吗3所示。1。

4.1.6。包修改器

节中解释3所示。1,此模块负责构建SYN-ACK RST包回复客户会连接到受保护的服务器。SYN-ACK数据包时发出的核心从未知客户接收SYN包。与此同时;RST包被发送到验证客户,从这些客户收到ACK数据包后。然而,它是简单的构建这两种类型的数据包,通过修改一些数据包到达的头字段。表1总结了调整字段创建相应的数据包。

4.2。SYN洪水后卫和OpenFlow开关

我们介绍了OFS, DDoS的对策机制集成到一个OpenFlow-based开关,在我们以前的工作(11]。我们现在这个OpenFlow的SYN洪水后卫核心开关集成架构作为一个安全核心进行更实际的测试。图8说明了我们的集成系统的高层结构,可以根据OpenFlow架构分为三层,包括主机控制器(我),(2)OpenFlow数据平面,和(3)fpga转发设备。

的主机控制器层由两个特定的控制器。虽然SDN控制器负责操纵SDN-based转发规则,安全控制器处理和监控转发平面的安全功能。每个控制器使用一个特定类型的协议与数据通信平面层:SDN控制器使用传统OpenFlow协议和安全控制器使用TCP / IP协议。

的OpenFlow数据平面层包含的服务功能作为控制器之间的通信接口软件层面和fpga转发设备。的fpga转发设备适应我们的担保OpenFlow开关统一由我们提出SYN洪水的后卫。然而,有效地利用硬件资源我们做出一些改进如下。(1)OpenFlow交换行为(由切换管理块)和安全扫描行为(块)由安全管理需要包头字段的处理。因此,实现每个头提取过程的方法,而对于每个块,我们开发一个预处理程序包模块提取的头字段传入的数据包。(2)FIFO存储器用于存储原始数据包从SYN洪水后卫可以删除,因为OpenFlow开关还有一个FIFO存储器数据包预处理程序和数据包控制器之间的连接。(3)通过移除FIFO存储器,包修改器模块SYN洪水后卫是控制器搬到包块修改数据包在FIFO的记忆。

5。评价

在本节中,我们提出我们的实验结果为该SYN洪水的后卫。核心评估在两个不同的实验,独立和集成到我们获得OpenFlow开关。在每个实验中,核心的吞吐量和延迟报道利用结果从不同的测试场景。

5.1。合成的结果

独立的SYN洪水后卫核心和OFS与我们的核心NetFPGA-10G平台上集成开发包含Xilinx Virtex-5 xc5vtx240t设备。设备拥有149760注册,149760附近地区,324 BlockRAMs, 37440片。董事会为4高速半双工SFP +港口提供40 Gbps的最大吞吐量。核心和OFS Verilog-HDL实现。而独立的核心不使用任何IP核心为提高灵活性,OFS与我们的核心集成使用一些IP核心提供的Xilinx如AXI4 lite。独立的核心和集成OFS合成与Xilinx XPS 14.7 [38由Xilinx PlanAhead[]和进一步优化39]。

表2展示了硬件资源的使用提出的核心和OpenFlow switch SYN洪水后卫核心集成。如表所示,提议的核心是hardware-efficiency相比完整OFS与集成安全的核心(附近地区核心寄存器只使用2.96%,2.95%,和5.56% BlockRAM FPGA器件而完整的OFS需要53.47%的寄存器,附近地区的47.29%,和61.73% BlockRAM)。表也提供了合成结果最大频率和功耗的核心和完整的OFS。如表所示,核心和OFS几乎可以在同一最大频率函数。

5.2。独立的实验结果

我们开发两个综合场景来评估性能和吞吐量的核心。在第一个场景中,我们模拟SYN洪水攻击通过发送SYN包所有核心以极高的速度。模拟现实情况的场景的一组网络数据包从62字节到1500字节的长度被发送到核心。执行测试,使用了两种不同NetFPGA-10G板与连接拓扑如图9。一个板移植OSNT(开源网络测试仪)(40)来生成并发送数据包到另一个委员会主办的核心。

如图9,每个NetFPGA-10G董事会由4 SFP +高速端口。因此,充分研究的核心,我们处理不同情况通过1端口发送数据包到核心,2港口,3港口,4端口。评估核心的吞吐量,OSNT监视器应答数据包生成的核心,也通过SFP +港口。换句话说,董事会主持OSNT工具扮演着两种角色,受保护的服务器和客户端。

第一个测试场景,所有的包都是62字节的SYN包,OSNT工具可以生成数据包每端口7.51 Gbps。因此,我们检查我们的核心与数据包吞吐量7.51 Gbps, 15.02 Gbps, 22.53 Gbps,和30.04 Gbps 1端口,2端口,3端口,分别和4端口。图10显示了我们的核心工作的吞吐量独立在这个场景中。根据图中,核心是能够处理传入的吞吐量28.16 Gbps。换句话说,包下降当核心SYN洪水攻击的吞吐量28.16 Gbps。当数据包被丢弃、安全客户端无法连接到受保护的服务器,因为从这些客户端的请求了。

在第二个测试场景中,我们测量吞吐量的核心数据包在不同大小从62到1500字节。与第一个场景测试方法是一样的。图11显示了在这种情况下我们的核心的吞吐量结果。在这个图中,横轴代表数据包的大小,而纵轴是处理吞吐量的核心对应大小的包。类似于第一个测试场景中,我们请求OSNT工具将数据包发送到核心最大吞吐量的能力。当使用只有一个端口时,62字节数据包和1500字节数据包可以处理的最大吞吐量7.51 Gbps, 9.87 Gbps,分别。都的最大吞吐量OSNT工具可以每端口问题。当所有SFP +端口使用,最大吞吐量从512字节到1500字节数据包在不同大小四倍相比,一个端口。然而,滴发生了62字节,64字节,128字节,和256字节数据包的利率5.9%,5.5%,2.5%,和0.4%,分别由于大量interpacket差距插入。

基于收集的结果从上述测试场景中,我们验证性能估算模型(理论吞吐量)提出了部分3所示。2。图12比较传入和处理吞吐量(分别为第一和第二列)通过实验测量与理论吞吐量计算(8)(最后一列)与不同的数据包大小。传入的吞吐量的最大吞吐量OSNT工具是能够被发送到我们的核心。处理吞吐量是多少位核心数据包到达时可以处理传入的吞吐率。当处理吞吐量小于传入的吞吐量,被丢弃的数据包数量的限制。正如上面所讨论的,AXI4 lite接口用于互连的提议的核心和SFP +端口平台。因此,当前帧大小在方程中是32个字节而interpacket差距4个字节为第二以太网协议。结果表明,性能评价模型与实验值几乎相同。处理吞吐量测量与数据包大小小于512字节与理论相匹配的结果。512字节,1024字节,1500字节数据包,我们高估了核心由于OSNT工具的限制。换句话说,的最大发电量OSNT工具是有限的在38.51 Gbps, 39.24 Gbps, 512字节和39.48 Gbps, 1024字节,和1500字节数据包。

最后,我们比较核心在我们的实验结果引入的延时估计(3)。根据仿真结果,我们的核心需要28个时钟周期过程第一帧( )。图13说明了延迟当不同数量的数据包被发送到我们的核心。纵轴显示延迟百分比相比,没有我们的核心系统,发送的数据包数量的核心在水平轴表示。根据图,我们延迟估计模型实验结果匹配时大量的数据包到达我们的核心。由于管道架构,延迟下降指数当数据包的数量增加(0.07%在实际的数据包)。

5.3。结合OFS实验结果

全面的验证,我们的SYN洪水后卫核心是集成到我们的OFS开关保护Web服务器部署在一个局域网。在实际网络中,提出了算法的参数1需要考虑一个有效的SYN洪水检测过程。设置三个参数 , ,和应适用于实时的网络流量。研究人员在41)得出结论,几乎一半的攻击率估计为500 +每秒数据包。因此,我们组500秒,1秒。第三个参数, ,影响传输时间和往返时间(42的包。因为往返时间小测试本地网络,我们将这个参数设置为小于100(一个更大的可以介绍假阴性率高)。图14显示了我们的测试模型,包括各种组件如下。(我)一个OpenFlow控制器部署在一个传统的CPU,处理OpenFlow开关使用OpenFlow协议。(2)一个安全控制器,也部署在一个传统的CPU,处理安全功能使用TCP / IP协议。(3)我们OpenFlow开关和一个集成的SYN洪水后卫核心NetFPGA-10G板上实现。开关连接到主机控制器通过作为PCIe接口(DMA)。(iv)一个Web服务器为用户提供了简单的web服务在本地网络。(v)代表的一组计算机用户检索服务的Web服务器。(vi)一个思科交换机连接用户电脑和也提供注册插孔- 45之间的桥梁接口和SFP +标准接口。(七)一个OSNT生成器/监控NetFPGA-10G板上集成一个CPU产生高速SYN洪水攻击。

在这个测试场景中,NetFPGA-10G董事会与OSNT工具部署扮演一个角色,攻击者不断发送62字节的SYN包在受保护的服务器最大速度通过两个端口(在总15.02 Gbps,近似超过每秒28000000包)。被攻击时,受保护的服务器也从用户接收和响应请求。我们的实验结果显示,在这些峰值的攻击,保护服务器仍然能够提供用户虽然没有保护我们的核心服务器无法响应用户在同样的攻击速度。

与相关文献的SYN洪水攻击的预防工作,我们衡量服务器的响应时间通过观察数据包到达时间使用Wireshark工具链(43]。表3比较著名的建议和我们的SYN洪水后卫的核心攻击率每秒(包),响应时间( ),和延迟(%,相比不受保护的服务器)。在每个保护方法中,第一行与0-pps攻击SYN包显示响应时间没有攻击而第二行代表袭击发生时响应时间。

根据表,SLICOTS只能保护服务器免受攻击在350 pps而引入延迟1700 - 1900毫秒左右,从而为该延迟值高达1361.54%。先锋派可以应对安全客户端请求期间SYN洪水攻击速度800 pps只有7.3毫秒的延迟。NASSD能够过滤SYN洪水攻击200000 pps只有0.034毫秒延迟。然而,作者并不显示在他们的系统响应时间。与这些方法相比,我们引入延迟小于SLICOTS和先锋派NASSD优于我们有点延迟。尤其是我们的SYN洪水后卫核心建立在NetFPGA-10G平台优于所有这些SYN洪水后卫方法的攻击率当我们能够保护我们的服务器由28410000 pps SYN洪水攻击,极其高于其他提到的方法。

6。结论和未来的工作

在本文中,我们提出了一个高效的硬件架构高吞吐量和低延迟SYN洪水的后卫。架构是精心设计的管道模型来提高系统性能和降低延迟。我们还提供了一个数学模型来评估性能和最大带宽的SYN洪水的后卫。通过使用Verilog-HDL架构是实现。验证核心,我们实施了多个实验与独立的核心以及与我们的安全集成OpenFlow开关,提议在我们以前的工作。独立测试,两个场景已经进行估算最大SYN洪水攻击预防能力。根据我们的实验结果,我们能够保护服务器免受SYN洪水攻击28.16 Gbps。我们然后集成提出了核心OFS测试在一个更现实的模型。OFS现在功能不仅作为开关路由数据包根据OpenFlow协议也作为一个后卫的核心,以防止SYN洪水攻击。根据这个测试,开关与我们的SYN洪水后卫核心集成优于文献中最著名的SYN洪水后卫建议。 We are able to protect our server against attacks at up to 28,410,000 pps with only small latency in Response time.

数据可用性

请求数据可以通过发送电子邮件到相应的作者。

的利益冲突

作者宣称没有利益冲突有关的出版。

确认

这项研究是由越南国立大学、胡志明市(VNU-HCM),在批准号B2016-20-02。

引用

1. 赛门铁克,“执行概要- 2018互联网安全威胁报告,”2018年,https://www.symantec.com/content/dam/symantec/docs/reports/istr-23-executive-summary-en.pdf。视图:谷歌学术搜索
2. 思科,“思科网络安全报告”,2018年,https://www.cisco.com/c/en/us/products/security/security-reports.html。视图:谷歌学术搜索
3. 思科,“防御TCP SYN洪水攻击-互联网协议日报9卷,第四,”https://www.cisco.com/c/en/us/about/press/internet-protocol-journal/back-issues/table-contents-34/syn-flooding-attacks.html。视图:谷歌学术搜索
4. Opennetworking化,“软件定义网络(SDN)的定义,“2018年,https://www.opennetworking.org/sdn-definition/。视图:出版商的网站|谷歌学术搜索
5. 顾问,“软件定义网络的优势”,2018年,http://www.ingrammicroadvisor.com/data-center/7-advantages-of-software-defined-networking。视图:谷歌学术搜索
6. 美国Shin·a·波勒斯诉Yegneswaran m . w .方g .顾和m .泰森”壁画:模块化的可组合为软件定义网络安全服务,”教你们,2013年。视图:谷歌学术搜索
7. 诉Yegneswaran·波勒斯美国Shin, m .方m .泰森和g .顾“安全执行内核OpenFlow网络,”学报第一ACM国际研讨会在软件定义网络热门话题,HotSDN 2012,页121 - 126,计算机协会,赫尔辛基芬兰,2012年8月。视图:出版商的网站|谷歌学术搜索
8. r·布拉加·e·莫塔,a . Passito“轻量级DDoS洪水攻击检测使用氮/ OpenFlow,”第35届IEEE会议程序本地计算机网络(LCN的10)科罗拉多州丹佛,页408 - 415,美国2010年10月。视图:出版商的网站|谷歌学术搜索
9. t . Dargahi阉公鸡,m . Ambrosin g·比安奇和m .孔蒂”飞机的安全状态SDN数据调查,“IEEE通信调查和教程,19卷,不。3、1701 - 1725年,2017页。视图:出版商的网站|谷歌学术搜索
10. c . Pham-Quoc b阮,t . n . Thinh声称“fpga多核架构整合多个DDoS防御机制,“ACM SIGARCH计算机体系结构的消息,44卷,不。4、14 - 19页,2017年。视图:出版商的网站|谷歌学术搜索
11. b, c . Pham-Quoc t . n . Thinh声称和n . Thoai“安全OpenFlow-Based开关结构,”《2016年国际会议上先进的计算和应用程序(ACOMP),页83 - 89,芹苴城市,越南,2016年11月。视图:出版商的网站|谷歌学术搜索
12. NetFPGA“NetFPGA-10G信息,”2018年,https://netfpga.org/10G_specs.html。视图:谷歌学术搜索
13. r·穆罕默迪、r . Javidan和m .孔蒂“SLICOTS: SDN-based轻量级TCP SYN洪水攻击的对策,“IEEE网络和服务管理,14卷,不。2、487 - 497年,2017页。视图:出版商的网站|谷歌学术搜索
14. v . s . Shin Yegneswaran、p·波勒斯和g .顾“先锋派:可伸缩和警惕开关流管理软件定义网络”美国2013年《ACM SIGSAC计算机与通信安全会议上,第424 - 413页,2013年。视图:谷歌学术搜索
15. y Afek、a . Bremler-Barr和l .沙菲尔“网络欺骗与SDN数据平面,”IEEE INFOCOM学报》2017 - IEEE计算机通讯大会上,页1 - 9,亚特兰大,乔治亚州,美国,2017年5月。视图:出版商的网站|谷歌学术搜索
16. d·j·伯恩斯坦,“Syn cookie, 1996,“2016年,http://cr.yp.to/syncookies.html。视图:谷歌学术搜索
17. Ghanti和g·奈克,SYN洪水攻击的防御技术描述和比较,。
18. c . l . Schuba诉Krsul, m·g·库恩·e·h·清单a .他和d . Zamboni”分析TCP的拒绝服务攻击,”诉讼IEEE研讨会上的安全和隐私1997年5月,页208 - 223。视图:谷歌学术搜索
19. j .柠檬,“抵制SYN洪水DoS攻击SYN缓存,”BSDCon卷,2002年,第97 - 89页,2002年。视图:谷歌学术搜索
20. m·亚希尔“FPGA技术导论”,2018年,https://www.fpgarelated.com/showarticle/17.php。视图:谷歌学术搜索
21. Techopedia”,专用集成电路(ASIC),”2018年,https://www.techopedia.com/definition/2357/application-specific-integrated-circuit-asic。视图:谷歌学术搜索
22. c . h . Wang Jin, k . g . Shin”防御欺骗IP流量使用跳跃数过滤。”IEEE / ACM交易网络,15卷,不。1,40-53,2007页。视图:出版商的网站|谷歌学术搜索
23. b·肖w·陈,y,“自主防御SYN洪水攻击:检测和节流独立攻击在受害人身边,“杂志的并行和分布式计算,卷68,不。4、456 - 470年,2008页。视图:出版商的网站|谷歌学术搜索
24. 观测。冯、e·凯泽和a . Luu”网络游戏的设计和实现,”学报的24日联合年会IEEE计算机和通信的社会(INFOCOM 05)2382年,页2372 -迈阿密,佛罗里达州,美国,2005年3月。视图:出版商的网站|谷歌学术搜索
25. l . Kavisankar和c Chellappan”,缓解TCP SYN洪水模型与IP欺骗,”学报》国际会议最近的趋势在信息技术、ICRTIT 2011印度,页251 - 256年,2011年6月。视图:谷歌学术搜索
26. j·j·埃切、p . Garaizar和j . Legarda”实验研究的适用性SYN cookie网络受限的设备,”软件:实践和经验,48卷,不。3、740 - 749年,2018页。视图:出版商的网站|谷歌学术搜索
27. d . Senie p·弗格森,“网络入口过滤:击败拒绝服务攻击使用IP源地址欺骗,”网络RFC2267, 1998年。视图:出版商的网站|谷歌学术搜索
28. 诉Gulisano,作品m . Callau-Zori z傅,r . Jimenez-Peris m . Papatriantafilou和m . Patino-Martinez“斯通:一个流DDoS防御框架,”专家系统与应用程序,42卷,不。24日,第9633 - 9620页,2015年。视图:出版商的网站|谷歌学术搜索
29. 。BoonPing Lim和m . Uddin Statistical-Based SYN-Flooding检测使用可编程的网络处理器”诉讼第三国际会议信息技术和应用程序(ICITA 05),页465 - 470年,澳大利亚悉尼。视图:出版商的网站|谷歌学术搜索
30. j . Mirkovic p .苍鹭”、“特区:源端防御洪水拒绝服务攻击,”IEEE可靠和安全的计算,卷2,不。3、216 - 232年,2005页。视图:出版商的网站|谷歌学术搜索
31. w·陈和d . y . Yeung节流欺骗SYN洪水流量来源,”电信系统,33卷,不。1 - 3,47 - 65、2006页。视图:出版商的网站|谷歌学术搜索
32. c .太阳,j .风扇、l .史和b . Liu”小说router-based方案减轻SYN洪水DDoS攻击,”IEEE INFOCOM(学生海报),2007年。视图:谷歌学术搜索
33. 黑线鳕,“InterPacket差距,开始包巷对齐,”2018年,http://www.ieee802.org/3/ae/public/jul00/haddock_1_0700.pdf。视图:谷歌学术搜索
34. Xilinx”AXI4-Lite IP接口(IPIF),”2018年,https://www.xilinx.com/products/intellectual-property/axi_lite_ipif.html。视图:谷歌学术搜索
35. d·菲尔德·m·巴克斯特,“TCP / IP参考,”2018年,https://nmap.org/book/tcpip-ref.html。视图:谷歌学术搜索
36. dcs.gla.ac。英国“EthernetFrame 802.3 10 mbps,”2018年,http://www.dcs.gla.ac.uk/lewis/networkpages/m04s03EthernetFrame.htm。视图:谷歌学术搜索
37. Github,“标准IP接口”,2018年,https://github.com/NetFPGA/NetFPGA-public/wiki/Standard-IP-Interfaces。视图:谷歌学术搜索
38. Xilinx”Xilinx平台工作室(XPS),”2018年,https://www.xilinx.com/products/design-tools/xps.html。视图:谷歌学术搜索
39. PlanAhead,“PlanAhead设计和分析工具,”2018年,https://www.xilinx.com/products/design-tools/planahead.html。视图:谷歌学术搜索
40. Github,“OSNT 10 g的家,”https://github.com/NetFPGA/OSNT-Public/wiki/OSNT-10G-Home。视图:谷歌学术搜索
41. d·摩尔,c·香农·d·j·布朗,g . m . Voelker和野蛮,“推断网络拒绝服务活动,”ACM交易计算机系统,24卷,不。2、115 - 139年,2006页。视图:出版商的网站|谷歌学术搜索
42. a·冈瑟和c·霍恩测量往返时间确定wlan节点之间的距离,”程序在网络国际会议研究卷,3462在计算机科学的课堂讲稿施普林格,页768 - 779年,德国柏林。视图:出版商的网站|谷歌学术搜索
43. Wireshark,“Wiresharke深入”,2018年,https://www.wireshark.org/。视图:谷歌学术搜索

版权

版权©2018 Duc-Minh非政府组织et al。这是一个开放的分布式下文章知识共享归属许可,它允许无限制的使用、分配和复制在任何媒介,提供最初的工作是正确引用。