Dynamic Packet Forwarding Verification in SDN
affliation and publication
-
author: Qi Li, XiaoyueZou, Qun Huang, Jing Zheng, Patrick P.C.Lee
-
publication: IEEE Transactions on Dependable and secure computing, 2019
-
abs
传统方法无法应用到SDN中的原因: SDN 中的交换机功能太少. 作者提出: 使用控制器收集包和流的统计来判定包是否被修改, 交付路径是否正常; 并对该方法加以改进
mininet , ovs , ryu 分别进行源码安装
OVS安装
ovs与linux内核版本对应
OVS版本是需要与linux内核版本对应的,否则会导致内核函数与OVS调用的函数不匹配,简称装不上。
https://docs.openvswitch.org/en/latest/faq/releases/
linux 内核版本查看uname -r
安装过程
这里要注意,如果下载的是官网的压缩文件,则不用./boot.sh直接从./configure开始即可, 如果是在github上下载的,则需要./boot.sh再configure
Solving Minimum Path Cover on a DAG
Magit的基本使用
Magit 的基本介绍
Magit是在emacs中对git的一种扩展, 它的本质是在emacs中, 利用emacs的方式调用git的命令, 使得git的使用更加地emacs化. 本人的emacs 能力有限, 因此只介绍magit中的一些最常用的命令, 方便日常使用够用即可. 要更加全面地研究可以看它的原网站.
Git的基本使用
基础(最常用的命令)
Git 与 Magit 初始篇
hugo安装与入门
ubuntu 18.04安装hugo最新稳定版
- 在站上下载安装包 https://github.com/gohugoio/hugo/releases
- 安装即可
- `sudo hugo version`查看版本
创建hugo站
Amplification Hell: Revisiting Network Protocols for DDoS Abuse.
Rossow C. Amplification Hell: Revisiting Network Protocols for DDoS Abuse[C]//NDSS. 2014.
本文重审各种基于UDP的协议,并分析哪些易用于RDOS,总结目前已被用作的RDOS和应对措施分析。本文主要有三总分组成:threat model,vulnerable protocols,realword attacks countmeasure。
LADS: large-scale automated DDOS detection system
Sekar V, Duffield N G, Spatscheck O, et al. LADS: Large-scale Automated DDoS Detection System[C]//USENIX Annual Technical Conference, General Track. 2006: 171-184.
本文提出LADS,根据轻量级和重量级DDoS检测优缺点进行分析提出两阶段检测法。首先检测是可能有异常,再通过流收集器进一步检测以决定是否发出警告。
A taxonomy of DDoS attack and DDoS defense mechanisms
Mirkovic J, Reiher P. A taxonomy of DDoS attack and DDoS defense mechanisms[J]. ACM SIGCOMM Computer Communication Review, 2004, 34(2): 39-53.
本文不错,就是老了点,对DDoS攻击和防御做了总结和分类,而不是提供个具体的方法。
DDoS Attack Protection in the Era of Cloud Computing and Software-Defined Networking
B. Wang, Y. Zheng, W. Lou and Y. T. Hou, “DDoS Attack Protection in the Era of Cloud Computing and Software-Defined Networking,” 2014 IEEE 22nd International Conference on Network Protocols, Raleigh, NC, 2014, pp. 624-629.
Bohatei: Flexible and elastic ddos defense
Fayaz S K, Tobioka Y, Sekar V, et al. Bohatei: Flexible and elastic ddos defense[C]//24th {USENIX} Security Symposium ({USENIX} Security 15). 2015: 817-832.
本文提出一种针对新型网络的DDoS的防御系统,通过SDN,将可疑流量通过VM以达到保护主机的目的。(本文目的是为特定主机提供保护服务,收费服务那种。)本篇的introduction和background都比别人难懂。。。
SD-Anti-DDoS: Fast and efficient DDoS defense in software-defined networks
Cui Y, Yan L, Li S, et al. SD-Anti-DDoS: Fast and efficient DDoS defense in software-defined networks[J]. Journal of Network and Computer Applications, 2016, 68: 65-79.
本文提出一种针对DDoS攻击的检测与缓解机制,由四部份组成:attack detection trigger,attack detection,attack traceback,attack mitigation。本文质量一般,不过packet_in trigger提出觉得有点创新。
FRESCO:Modular Composable Security Services for Software-Defined Networks
Shin S W, Porras P, Yegneswara V, et al. Fresco: Modular composable security services for software-defined networks[C]//20th Annual Network & Distributed System Security Symposium. NDSS, 2013.
本文提供了一个应用框架FRESCO,可供研究人员和开发代人员更简单地实现各种检测、缓解模块。
dFence: Transparent Network-based Denial of Service Mitigation
Mahimkar A , Dange J , Shmatikov V , et al. dFence: Transparent Network-based Denial of Service Mitigation[J]. Nsdi ’, 2007:24-24.,
本文通过添加dFence中间设备,实现透明的DoS防御。图1架构图,将中间设备透明插入可能受攻击的主机前并拦截所有流量。
Header Space Analysis: Static Checking For Networks
Kazemian P, Varghese G, McKeown N. Header space analysis: Static checking for networks[C]//Presented as part of the 9th {USENIX} Symposium on Networked Systems Design and Implementation ({NSDI} 12). 2012: 113-126.
Header Space Analysis: Static Checking For Networks
Kazemian P, Varghese G, McKeown N. Header space analysis: Static checking for networks[C]//Presented as part of the 9th {USENIX} Symposium on Networked Systems Design and Implementation ({NSDI} 12). 2012: 113-126.
An Overview of Misuse/Attack Cases in SDN
An Overview of Misuse/Attack Cases in SDN
标签(空格分隔): security
- A-01-A:大量packet_in会导致SDN controller不可预期状态,例如,恶意主机生成大量packet_in使用controller资源消耗完。
- A-02-M:应用的链式执行会导致:控制信息丢失(恶意应用may加入服务链,并在其他应用等到控制信息前丢弃它);无限循环(恶意应用会进行无限循环从而阻止链运行)
- A-03-MA:controller的内部存为所有的application共享,因此不严格的授权会导致内部数据库的拓扑更改。
- A-04-MA 控制信息被操控会导致:1.路由表洪泛:一直发假路由表;2.switch标识字段被造假;3.畸形控制信息控制平面发生故障
- A-05-M: SDN随机发出控制信息导致:1.流表修改;2.流表清除。
- A-06-M:SDN应用可能会通过滥用poorly designed API来影响其他的API应用。如:1.流表修改;2.流表清除。
- A-07-MA:SDN应用会排他地使用系统资源从而影响Controller或其他应用的性能如:1.内存耗尽;2.CPU耗尽。
- A-08-MA:系统状态变量被修改可能会导致出错,如恶意修改Controller系统时间导致其与其他switches断连。
- A-09-A:SDN应用可能会执行系统退出命令来终结Controller实例。
- A-10-A:敌人可能通过Controller的 主机跟踪服务或链接发现来修改网络拓扑。1.Host Location Hijacking:通过精心制作的包来随机劫持其他主机的位置。2.Link Fabrication:通过伪造或中继LLDP包给控制器来控制网络拓扑。
- B-01-A:敌人可以监听控制信道来偷敏感信息,如:通过窃取控制信道的输出控制信息获得网络拓扑。
- B-02-A:敌人可以干涉控制信道,如:修改传输中的流规则信息,使网络行为崩坏。
- C-01-MA: 大量的流规则会导致数据平面状态被破坏,如:敌人修改流规则信息并往指定switch插入大量规则使流表溢出。
- C-02-M: 某些路由模式的特性可能会被不良使用,如:敌人可能会插入手工流表,而这些流表在某些特征路由模式下不能被固件表处理。
- C-03-M: 畸形控制信息会破坏数据平面状态。敌人可能会向数据平面注入畸形控制信息来中断控制平面与数据平面的连接。
Athena: A Framework for Scalable Anomaly Detection in Software-Defined Networks
S. Lee, J. Kim, S. Shin, P. Porras and V. Yegneswaran, “Athena: A Framework for Scalable Anomaly Detection in Software-Defined Networks,” 2017 47th Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN), Denver, CO, 2017, pp. 249-260.