تشخیص و جلوگیری از حمله DOS در شبکه SDN با نرم افزار OPNET
در این بخش پروژه شبیه سازی تشخیص و جلوگیری از حمله DOS در شبکه SDN با نرم افزار OPNET را به همراه داکیومنت آماده کرده ایم که در ادامه به توضیحاتی از چالش های امنیتی شبکه SDN و معرفی شبیه سازی انجام شده پرداخته و فیلم و تصاویر خروجی در محیط آپنت به همراه لینک دانلود مقاله مرجع قرار داده شده است.
انواع تهدیدات موجود در SDN
چالش های امنیتی در شبکه نرم افزار محور (Software Defined Networking – SDN) برای شبکه های مدیریت شده در مقایسه با شبکه های سنتی تهدید آمیز تر است. در یک شبکه سنتی، هدف تنها چند سرور یا بخشی از شبکه می باشد. برعکس، اگر یک SDN توسط برخی از نفوذگران به خطر بیافتد کل شبکه در معرض خطر است. از این رو، در ادامه به توضیحات مختصری از آسیب پذیری ها و تهدیدات در SDN از جنبه سطح مدیریت ، سطح کنترل و سطح داده می پردازیم.
سطح مدیریت
مدیریت شبکه نرم افزار محور (SDN) شامل مجموعه ای از سوئیچ ها و کنترلر ها ، نصب و راه اندازی برنامه های شبکه ، مدیریت کنترل و مدیریت اعتبار بین نهاد های مختلف SDN می باشد. البته خطر پیچیدگی مدیریت SDN بالاست به طوری که اگر این سطح در معرض خطر بیافتد، تاثیر آن بر روی شبکه ها شدید خواهد بود.
سطح کنترل
سطح کنترل شامل سیاست های برنامه های کاربردی شبکه و ترافیک سیگنالینگ بین سوئیچ ها و کنترلر برای مدیریت شبکه بکار گرفته می شود. در SDN سیاست های برنامه های شبکه می توانند با یکدیگر در تضاد باشند. عدم اولویت بندی آنها منجر به رفتار غیر منتظره در اداره شبکه می شود.
سطح داده (سطح مورد نظر)
دستگاه های کاربر نهایی، جداول جریان سوئیچ، و ترافیک عبوری از آنها، سطح داده را تشکیل می دهند. برای تعیین یک رخداد در جداول جریان ، بسته ورودی به کنترل کننده برای تنظیم قوانین جریان در سوئیچ فرستاده می شود. بنابراین، به طور کلی در شبکه های SDN زمان پاسخ اولین بسته یک جریان داده ، در مقایسه با بسته های بعدی طولانی تر است. این مشخصه SDN به یک نفوذگر کمک می کند تا از صفحه داده کپی برداری کند. علاوه بر این، به نفوذگران کمک می کند تا جریان هایی را پیدا کنند که هیچ تنظیم جریانی در جداول جریان برای آنها وجود ندارد و کنترل کننده پیام هایی را برای رسیدگی به آنها ارسال می کند. نفوذگران می توانند جریان هایی را برای غلبه بر کنترل کننده ارسال کنند. این جریان های جعلی و ساختگی کنترل کننده را اداره کرده و آن را مشغول می کند و حافظه یک سوئیچ را نگه می دارند تا پاسخ را از کنترلر دریافت کنند که این کار منجر به تخریب عملکرد شبکه می شود.
ما در این پروژه به حملاتی که توسط نفوذگرها به این سطح از داده ها وارد می کند می پردازیم. معماری روش کار ما برای سیستم SDN و پیاده سازی حملات مورد نظر به صورت زیر در نظر گرفته شده است.
در این معماری بخش های مختلفی از جمله کنترلر مرکزی، سوئیچ های OpenFlow ، و پروتکل OpenFlow که یک زبان گفتگو بین کنترلر و سوئیچ ها می باشد دیده می شود.
ماهیت حملات روی شبکه های SDN
با توجه به ماهیت شبکه های SDN و آسیب پذیری آنها در برابر حملات نفوذگران ، يکي از مهمترين مسائلی که بايد در مرحله اول در اين شبکه ها در نظر گرفته شود امنيت می باشد، چرا که اين حملات باعث کاهش کارايی در خدمات شبکه (مدت زمان پاسخ و ميزان تاخير جهت برقراری يک ارتباط) می شود. لذا ما باید جای فرضی نفوذگرها را تشخیص داده و خود را به جای آنها قرار داده و از راه های نفوذ آنها جلوگیری کنیم. شکل بالا حمله عمومی نفوذگرها را نشان می دهد، ما تاثیر این حملات را بر روی میزان تأخیر برای برقراری یک ارتباط و از بین بردن درخواست های کاربران به سرورها ارزیابی می کنیم که بر همین اساس ما در این پروژه دو حمله مختلف را بر روی این شبکه ها طراحی مي كنيم. این حملات عبارتند از:
حمله به سطح داده
در این حملات با ارسال درخواست های جعلی از طرف نفوذگرها، باعث مشغول نمودن کنترلر و سوئیچ ها می شویم که این خود موجب تاخیر در برقراری ارتباط و از دست دادن روند ترافیک واقعی می شود که به این مرحله اصطلاحا سوء رفتار می گویند. اين نوع حملات را مي توان به دو نوع زیر تقسيم بندی كرد:
- ارتباطات درون سوئیچی در یک شبکه
در اين حملات میزبان و نفوذگر در یک شبکه ساکن هستند. به عنوان مثال در شکل بالا هم میزبان های شبکه و هم نفوذ گرها به Switch1 متصل می شوند و با توجه به خروجی هایی که از شبیه ساز مشاهده می کنیم، می بینیم که مقدار زمان تاخیر برقراری ارتباط در مقایسه با مدل نرمال و مرجع بسیار بالاست.
- ارتباطات درون سوئیچی در شبکه های مختلف
میزبان و نفوذگران در شبکه های مختلف ساکن هستند. به عنوان مثال در شکل بالا، میزبان و نفوذگران به ترتیب با switch1 و switch2 ساکن هستند. تاثیر حمله در این نوع ناچیز است که دلیل تاثیر کمتر این است که تنها کنترلر و نفوذگر سمت سوئیچ تحت تاثیر این حمله قرار می گیرد. جداول جریان و حافظه بافر برای بسته های دریافتی در سوئیچ و لینک کنترل از سوئیچ از طرف کنترل کننده در سمت میزبان با درخواست های ناخواسته و جعلی در سیل درخواست ها غرق می شود.
حمله به کانال کنترل
در این حملات سوئیچ مخرب با جعل هویت یک سوئیچ واقعی موجب قطع ارتباط آن سوئیچ با کنترلر می شود. با عدم اجرای رمزگذاری TLS / SSL در کانال کنترل، نفوذگر می تواند به راحتی اطلاعات مربوط به سوئیچ ها در شبکه را پیدا کند و سوئیچ های مخرب از این اطلاعات برای مدیریت در شبکه SDN استفاده کنند. هنگامی که سوئیچ به کنترلر متصل می شود، برای کنترل، ما یک سوئیچ مخرب را با همان آدرس IP سوئیچ واقعی، با کنترل کننده ایجاد می کنیم. این باعث اختلال سوئیچ واقعی و اتصال سوئیچ مخرب با کنترل کننده می شود. بنابراین، دستگاه های پایانی که با سوئیچ واقعی همراه بودند، قطع اتصال در شبکه را متحمل می شوند و کاربران درخواست ها را در یک بازه زمانی بزرگتر و کمتر از مدت زمان تعلیق جریان در سوئیچ تولید می کنند. در مقایسه با حملات سطح داده، راه اندازی این حملات ساده تر خواهد بود. با این وجود، فرض بر این است که کانال کنترل نا امن است.
شبیه سازی با نرم افزار OPNET
در این بخش ابتدا به تشخیص نفوذ در شبکه های SDN پرداخته شده و سپس به بررسی و ارزیابی حملاتی که منجر به کاهش کارایی عملکرد شبکه در معماری پیشنهادی می شود می پردازیم و الگوریتم بهینه ای که منجر به توانمند سازی شبکه های SDN در برابر حملات می شود را بررسی می کنیم و به تحلیل نتایج خروجی می پردازیم و سپس نتایج بدست آمده در زمان حمله را با نتایج بدست آمده قبل از حمله را بررسی کرده و تاثیر الگوریتم بهینه بر این حملات را مشاهده می کنیم. در آخر مقایسه ای بین نتایج مدل پیشنهادی با نتایج خروجی مقاله مرجع که با عنوان Impact on SDN Powered Network Services under Adversarial Attacks می باشد، انجام می دهیم.
تشخیص نفوذ در شبکه
در بحث تشخیص نفوذ در شبکه های SDN با سه بخش اصلی سر و کار داریم 1- تشخیص ناهنجاری در شبکه 2- تشخیص سوء رفتار در شبکه 3- مدل تصمیم گیری. ناهنجاری در واقع حملاتی است که بر روی شبکه اتفاق می افتد. و سوء رفتار در واقع حمله نیست بلکه خیلی مواقع استفاده بیش از حد و خارج از محدوه سیستم می باشد که در بعضی از مواقع به صورت ناهنجاری رخ می دهد. در این شبیه سازی با نرم افزار OPNET روی بخش ناهنجاری که همان حملات روی شبکه است تمرکز داریم.
مدل پیشنهادی و تحلیل نتایج خروجی سناریوها
برای بررسی حملات روی شبکه SDN یک حالت نرمال شبکه در نظر گرفته شده و داده های این بخش از سناریو به عنوان داده های مرجع در نظر گرفته شده و سپس با تحلیل و مقایسه داده های شبکه در حالت حملات مختلف با داده های مرجع اقدام به تشخیص و مقاوم ساز های شبکه های SDN در این نوع حملات شده که سه سناریو مختلف برای شبکه طراحی شده است.
سناریو اول
در سناریو اول فرض شده بر این است که هیچ حمله ای روی شبکه صورت نگرفته و شبکه در حالت نرمال کار می کنند. این سناریو که در شبیه سازی به نام سناریو نرمال نام گذاری شده است به صورت زیر است:
شکل توپولوژی شبکه در حالت نرمال
در این قسمت مرجع تمام ترافیک در حالت نرمال شبکه وجود دارد و همانطوری که در شکل زیر مشاهد می شود، ترافیک بانک اطلاعاتی، درخواست وب، ویدئو کنفرانس، صوت و دسترسی از راه دور موجود می باشد. چنانچه ترافیکی در شبکه از این نوع تولید شود، مدل مرجع آن وجود دارد و می توان با مقایسه این نوع داده های مرجع، حملات مختلف راه تشخیص داد.
نمودار مرجع انواع ترافیک های مختلف شبکه در حالت نرمال
سناریو دوم
نفوذگر در شبکه ای که میزبان در آن قرار گرفته یا در شبکه ای دیگر، با فرستادن درخواست های جعلی بار ترافیکی شبکه را زیاد می کند و مانع از پاسخ کنترلر به درخواست های واقعی در شبکه می شود.
شکل نفوذگرها که شبکه را مورد حمله قرار داده اند
شکل توپولوژی سناریو دوم
در سناریو دوم که به نام Props 1 نام گذاری شده، طبق موارد گفته شده نفوذگر با فرستادن در خواست جعلی سعی در از کار انداختن کنترل می کند. این سناریو نیز دارای اطلاعاتی کامل از داد های مختلف می باشد تا بتوان با مقایسه با مدل مرجع به تحلیل کارایی سیستم پرداخت.
نمودار داده های ترافیکی سناریو دوم
سناریو سوم
در این سناریو نفوذگر از کانال کنترال استراق سمع کرده و عملا ارتباط سوئیچ با کنترلر را قطع می کند.
شکل سناریو استغراق سمع
شکل توپولوژی سناریو سوم
نمودار داده های حاصله از سناریو سوم
مقایسه اطلاعات سناریو ها
در ادامه به مقایسه و تحلیل نمودار های مختلف در این سه سناریو پرداخته می شود و شاخص های مختلف مورد ارزیابی قرار خواهد گرفت. با توجه به اینکه اطلاعات توسط پروتکل SSL انتقال پیدا می کنند، یکی از مهم ترین پارامتر ها در این زمینه متوسط زمان پاسخ ابجکت Response در پروتکل SSL می باشد. با توجه به شکل زیر متوسط زمان پاسخ در زمانی که حمله اتفاق افتاده خیلی بیشتر از زمان معمولی می باشد.
نمودار زمان پاسخ در پروتکل HTTP
همانطوری که در شکل بالا مشاهد می شود، از مقایسه زمان پاسخ با داده های مرجع می توان پی برد که حمله اتفاق افتاده است. در شکل های بعدی توزیع زمان پاسخ را مشاهد می کنیم و با مقایسه با مدل مرجع می توان دریافت که حمله ای صورت گرفته است.
شکل توزیع اماری زمان پاسخ در حالت نرمال
شکل توزیع آماری زمان پاسخ در حالت سناریو دوم
شکل توزیع آماری زمان پاسخ در حالت سناریو سوم
اطلاعات گراف ها نشان دهنده این واقیعت است که در شبکه، مدت زمان پاسخ در حالت نرمال 0.003 ثانیه و سناریو اول 0.005 و سناریو دوم 0.006 می باشد.
پارامتر میزان دریافت اطلاعات بر حسب بایت و پکت در پروتکل HTTP : یکی دیگر از پارامتر های مهم، متوسط دریافت اطلاعات برای هر سه سناریو پیشنهادی می باشد. بررسی ها نشان می دهند که الگوی این سه سناریو برای دریافت اطلاعات دو الگوی متفاوت می باشد که می توان از این الگو ها برای کشف حملات در این شبکه ها استفاده نمود.
نمودار دریافت اطلاعات
اطلاعات (شکل بالا) نشان دهنده این واقیعت است که متوسط برای سناریو نرمال 0.3336 و برای دو سناریو دیگر بیشتر از 0.3336 می باشد. با توجه به اینکه شبکه SDN بر مبنای نرم افزار می باشد، یکی دیگر از متغییر های مهم برای تحلیل شبکه، پارامتر تاخیر در شبکه می باشد که مهم ترین پارمتر برای ارزیابی و کارایی شبکه است. بررسی ها و نتایج (نمودار زیز) نشان می دهد که در حالتی که روی شبکه حمله صورت می گیرد این میزان تاخیر بسیار مشهود بوده است.
نمودار میزان تاخیر در سه سناریو
اطلاعات آماری مربوط به سه سناریو مختلف در اینجا (شکل بالا) نشان می دهد که میزان تاخیر در حالت نرمال 0.000316 و در حالت های دیگر بیشتر از این را مقدار می باشد. در سناریو های پیشنهادی برای مقایسه، از برنامه کاربردی VOIP استفاده شده که یکی از پارمترهای اساسی در این نرم افزار مسئله jitter و تاخیر صوت در شبکه می باشد. با مقایسه الگوهای نشان داده شده می توان پیش بینی مناسبی برای حملات بر روی شبکه های SDN انجام داد.
نمودار jitter و تاخیر صوت
همانطوری که مشاهد می شود (شکل بالا)، میانگین در سناریو حالت نرمال 0.000021 و در سناریو های دوم و سوم بشتر این مقدار می باشد.
نمودار تاخیر ابتدای گره به انتهای گره: این نمودار به طور کلی بیان کننده متوسط ارسال اطلاعات از نقطه ابتدای به نقطه انتهای می باشد. این نمودار بیان کننده مدت زمان بسته ارسالی در طول شبکه می باشد. قاعدتا هر چه این زمان کمتر باشد شبکه ما کارایی مناسی داشته است.
نمودار تاخیر روی کنترلر
نمودار متوسط دسترسی از راه دور – زمان پاسخ (Response time)
شکل توزیع آماری تاخیر روی کنترلر در حالت نرمال (یک)
شکل توزیع آماری تاخیر روی کنترلر در حالت سناریو دوم
شکل توزیع آماری تاخیر روی کنترلر در حالت سناریو سوم
همانطوری که که مشاهد می شود، متوسط زمان تاخیر و مقایسه آن با داده های مرجع نشان دهنده بالا بودن این مقادیر است.
نتیجه گیری
در این پروژه شبیه سازی شبکه با OPNET سه سناریو مختلف روی شبکه SDN مورد بررسی قرار گرفت و با پارامتر های اساسی نشان داده شده که چگونه می توان شبکه ای را که مورد حمله قرار گرفته، مورد بررسی قرار داد و با این پارامتر ها اقدام به مقاوم سازی شبکه در برابر حملات مختلف روی این شبکه کرد. در مدل پیشنهاد اشاره شد که ابتدا یک ترافیک مرجع به عنوان ترافیک نرمال در نظر گرفت شده و سپس وضیعت شبکه با این ترافیک مرجع مقایسه شده است. و نسبت به وجود حمله در شبکه های SDN تصمیم گیری خواهد شد. نکته ای که حائز اهمیت می باشد این است که در مقاله پایه (Impact on SDN Powered Network Services under Adversarial Attacks) عملا پیاده سازی روی ماشین مجازی (Virtual Machine) صورت گرفته است و در عمل پرامترهای تاخیر مورد مطالعه قرار گرفته شده، در صورتی که در مدل پیشنهادی به منظور بسط و توسعه، پارامترهای کارایی شبکه مورد بررسی قرار گرفته شده است.
هیچ نظری ثبت نشده است