- Các giải pháp phát hiện và giảm thiểu tấn công DDoS dựa trên dữ liệu thống kê và cơ chế xử lý gói tin của SDN/Openflow có ưu điểm là đơn giản, dễ triển khai nhưng còn tồn tại một số nhược điểm cố hữu làm giảm độ chính xác phát hiện và phân loại, giới hạn quy mô lưu lượng hệ thống mạngcó thể áp dụng, dễ bị lợi dụng thành mục tiêu tấn công DDoS.
- Kiến trúc SDN/Openflow mở rộngtrong đó bổ sung bộ phân tích và xử lý lưu lượng SD có thể khắc phục vấn đề trên. Sự kết hợp bộ SD trong mạng SDN/Openflow có ưu điểm:
• Có thể chuyển các mẫu gói tin mong muốn từ OFStới bộ điều khiển không qua
Hình 3.21. Tỷ lệ kết nối thành công và thời gian kết nối trung bình của kết nối lành tính
Hình 3.22. Mức độ chiếm dụng tài nguyên bộ nhớ và CPU trên OFS, SD dưới tấn công SYN Flood
giao diệnOpenflow tránh được hiện tượng thắt cổ chai tại giao diện này.
• Có thể phân tích, cung cấp các thuộc tính lưu lượng mà cơ chế thống kê của Openflow không thực hiện được.
• SD có thể thực hiện các chính sách xử lý trực tiếp các gói tin (như Drop) mà không cầncài đặt các mục luồng giúp giảm thời gian đáp ứng của hệ thống,giảm sự chiếm dụng tài nguyên bởi các mục luồng tấn công DDoS.
- Giải pháp phát hiện và giảm thiểu tấn công bằng thuật toán logic mờ sử dụng kiến trúc SDN/Openflow mở rộngcho độ nhạy lọc bỏcao, tỷ lệ lọc bỏnhầm thấpvà thời gian đáp ứng nhanh do cơ chế xóa bỏ gói tin tấn công được thực hiện trên SD mà không bằng cơ chế Openflow thông thường.
- Bên cạnh những lợi ích về mặt an ninh mạng, kỹ thuật SDN/Openflow cũng tồn tại những lỗ hổng mới, trong đó có nguy cơ bị tấn công làm cạn kiệt tài nguyên bộ chuyển mạch, bộ điều khiển và giao diện Openflow bằngtấn công SYN Flood giả mạo địa chỉ IP. Kế thừa từ cơ chế CM của Avant-Guard, giải pháp đề xuất SSG thực hiện ủy nhiệm gói tin SYN trên bộ phân tích lưu lượng, thay vì ủy nhiệm gói tin SYN trên bộ chuyển mạch. Kết quả thực nghiệm trên testbed cho thấy SSG khắc phục được những tồn tại của cơ chế CM, đã cải thiện khả năng chịu đựng tấn công SYN Flood của hệ thống.