تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

تشخیص و جلوگیری از حمله DOS در شبکه SDN با نرم افزار OPNET

در این بخش پروژه شبیه سازی تشخیص و جلوگیری از حمله DOS در شبکه SDN با نرم افزار OPNET را به همراه داکیومنت آماده کرده ایم که در ادامه به توضیحاتی از چالش های امنیتی شبکه SDN و معرفی شبیه سازی انجام شده پرداخته و فیلم و تصاویر خروجی در محیط آپنت به همراه لینک دانلود مقاله مرجع قرار داده شده است.

انواع تهدیدات موجود در SDN

چالش های امنیتی در شبکه نرم ‌افزار محور (Software Defined Networking – SDN) برای شبکه های مدیریت شده در مقایسه با شبکه های سنتی تهدید آمیز تر است. در یک شبکه سنتی، هدف تنها چند سرور یا بخشی از شبکه می باشد. برعکس، اگر یک SDN توسط برخی از نفوذگران به خطر بیافتد کل شبکه در معرض خطر است. از این رو، در ادامه به توضیحات مختصری از آسیب پذیری ها و تهدیدات در SDN از جنبه سطح مدیریت ، سطح کنترل و سطح داده می پردازیم.

سطح مدیریت

مدیریت شبکه نرم ‌افزار محور (SDN) شامل مجموعه ای از سوئیچ ها و کنترلر ها ، نصب و راه اندازی برنامه های شبکه ، مدیریت کنترل و مدیریت اعتبار بین نهاد های مختلف SDN  می باشد. البته خطر پیچیدگی مدیریت SDN بالاست به طوری که اگر این سطح در معرض خطر بیافتد، تاثیر آن بر روی شبکه ها شدید خواهد بود.

سطح کنترل

سطح کنترل شامل سیاست های برنامه های کاربردی شبکه و ترافیک سیگنالینگ بین سوئیچ ها و کنترلر برای مدیریت شبکه بکار گرفته می شود. در SDN سیاست های برنامه های شبکه می توانند با یکدیگر در تضاد باشند. عدم اولویت بندی آنها منجر به رفتار غیر منتظره در اداره شبکه می شود.

سطح داده (سطح مورد نظر)

دستگاه های کاربر نهایی، جداول جریان سوئیچ، و ترافیک عبوری از آنها، سطح داده را تشکیل می دهند. برای تعیین یک رخداد در جداول جریان ، بسته ورودی به کنترل کننده برای تنظیم قوانین جریان در سوئیچ فرستاده می شود. بنابراین، به طور کلی در شبکه های SDN زمان پاسخ اولین بسته یک جریان داده ، در مقایسه با بسته های بعدی طولانی تر است. این مشخصه SDN به یک نفوذگر کمک می کند تا از صفحه داده کپی برداری کند. علاوه بر این، به نفوذگران کمک می کند تا جریان هایی را پیدا کنند که هیچ تنظیم جریانی در جداول جریان برای آنها وجود ندارد و کنترل کننده پیام هایی را برای رسیدگی به آنها ارسال می کند. نفوذگران می توانند جریان هایی را برای غلبه بر کنترل کننده ارسال کنند. این جریان های جعلی و ساختگی کنترل کننده را اداره کرده و آن را مشغول می کند و حافظه یک سوئیچ را نگه می دارند تا پاسخ را از کنترلر دریافت کنند که این کار منجر به تخریب عملکرد شبکه می شود.

ما در این پروژه به حملاتی که توسط نفوذگرها به این سطح از داده ها وارد می کند می پردازیم. معماری روش کار ما برای سیستم SDN و پیاده سازی حملات مورد نظر به صورت زیر در نظر گرفته شده است.

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

در این معماری بخش های مختلفی از جمله کنترلر مرکزی، سوئیچ های OpenFlow ، و پروتکل OpenFlow که یک زبان گفتگو بین کنترلر و سوئیچ ها می باشد دیده می شود.

ماهیت حملات روی شبکه های SDN

با توجه به ماهیت شبکه های SDN و آسیب پذیری آنها در برابر حملات نفوذگران ، یکی از مهمترین مسائلی که باید در مرحله اول در این شبکه ها در نظر گرفته شود امنیت می باشد، چرا که این حملات باعث کاهش کارایی در خدمات شبکه (مدت زمان پاسخ و میزان تاخیر جهت برقراری یک ارتباط) می شود. لذا ما باید جای فرضی نفوذگرها را تشخیص داده و خود را به جای آنها قرار داده و از راه های نفوذ آنها جلوگیری کنیم. شکل بالا حمله عمومی نفوذگرها را نشان می دهد، ما تاثیر این حملات را بر روی میزان تأخیر برای برقراری یک ارتباط و از بین بردن درخواست های کاربران به سرورها ارزیابی می کنیم که بر همین اساس ما در این پروژه دو حمله مختلف را بر روی این شبکه ها طراحی می کنیم. این حملات عبارتند از:

حمله به سطح داده

در این حملات با ارسال درخواست های جعلی از طرف نفوذگرها، باعث مشغول نمودن کنترلر و سوئیچ ها می شویم که این خود موجب تاخیر در برقراری ارتباط و از دست دادن روند ترافیک واقعی می شود که به این مرحله اصطلاحا سوء رفتار می  گویند. این نوع حملات را می توان به دو نوع زیر تقسیم بندی کرد:

  • ارتباطات درون سوئیچی در یک شبکه

در این حملات میزبان و نفوذگر در یک شبکه ساکن هستند. به عنوان مثال در شکل بالا هم میزبان های شبکه و هم نفوذ گرها به Switch1 متصل می شوند و با توجه به خروجی هایی که از شبیه ساز مشاهده می کنیم، می بینیم که مقدار زمان تاخیر برقراری ارتباط در مقایسه با مدل نرمال و مرجع بسیار بالاست.

  • ارتباطات درون سوئیچی در شبکه های مختلف

میزبان و نفوذگران در شبکه های مختلف ساکن هستند. به عنوان مثال در شکل بالا، میزبان و نفوذگران به ترتیب با switch1 و switch2 ساکن هستند. تاثیر حمله در این نوع ناچیز است که دلیل تاثیر کمتر این است که تنها کنترلر و نفوذگر سمت سوئیچ تحت تاثیر این حمله قرار می گیرد. جداول جریان و حافظه بافر برای بسته های دریافتی در سوئیچ و لینک کنترل از سوئیچ از طرف کنترل کننده در سمت میزبان با درخواست های ناخواسته و جعلی در سیل درخواست ها غرق می شود.

حمله به کانال کنترل

در این حملات سوئیچ مخرب با جعل هویت یک سوئیچ واقعی موجب قطع ارتباط آن سوئیچ با کنترلر می شود. با عدم اجرای رمزگذاری TLS / SSL در کانال کنترل، نفوذگر می تواند به راحتی اطلاعات مربوط به سوئیچ ها در شبکه را پیدا کند و سوئیچ های مخرب از این اطلاعات برای مدیریت در شبکه SDN استفاده کنند. هنگامی که سوئیچ به کنترلر متصل می شود، برای کنترل، ما یک سوئیچ مخرب را  با همان آدرس IP سوئیچ واقعی، با کنترل کننده ایجاد می کنیم. این باعث اختلال سوئیچ واقعی و اتصال سوئیچ مخرب با کنترل کننده می شود. بنابراین، دستگاه های پایانی که با سوئیچ واقعی همراه بودند، قطع اتصال در شبکه را متحمل می شوند و کاربران درخواست ها را در یک بازه زمانی بزرگتر و کمتر از مدت زمان تعلیق جریان در سوئیچ تولید می کنند. در مقایسه با حملات سطح داده، راه اندازی این حملات ساده تر خواهد بود. با این وجود، فرض بر این است که کانال کنترل نا امن است.

شبیه سازی با نرم افزار OPNET

در این بخش ابتدا به تشخیص نفوذ در شبکه های SDN پرداخته شده و سپس به بررسی و ارزیابی حملاتی که منجر به کاهش کارایی عملکرد شبکه در معماری پیشنهادی می شود می پردازیم و الگوریتم بهینه ای که منجر به توانمند سازی شبکه های SDN در برابر حملات می شود را بررسی می کنیم و به تحلیل نتایج خروجی می پردازیم و سپس نتایج بدست آمده در زمان حمله را با نتایج بدست آمده قبل از حمله را بررسی کرده و تاثیر الگوریتم بهینه بر این حملات را مشاهده می کنیم. در آخر مقایسه ای بین نتایج مدل پیشنهادی با نتایج خروجی مقاله مرجع که با عنوان Impact on SDN Powered Network Services under Adversarial Attacks می باشد، انجام می دهیم.

تشخیص نفوذ در شبکه

در بحث تشخیص نفوذ در شبکه های SDN با سه بخش اصلی سر و کار داریم ۱- تشخیص ناهنجاری در شبکه ۲- تشخیص سوء رفتار در شبکه ۳- مدل تصمیم گیری. ناهنجاری در واقع حملاتی است که بر روی شبکه اتفاق می افتد. و سوء رفتار در واقع حمله نیست بلکه خیلی مواقع استفاده بیش از حد و خارج از محدوه سیستم می باشد که در بعضی از مواقع به صورت ناهنجاری رخ می دهد. در این شبیه سازی با نرم افزار OPNET روی بخش ناهنجاری که همان حملات روی شبکه است تمرکز داریم.

مدل پیشنهادی و تحلیل نتایج خروجی سناریوها

برای بررسی حملات روی شبکه SDN یک حالت نرمال شبکه در نظر گرفته شده و داده های این بخش از سناریو به عنوان داده های مرجع در نظر گرفته شده و سپس با تحلیل و مقایسه داده های شبکه در حالت حملات مختلف با داده های مرجع اقدام به تشخیص و مقاوم ساز های شبکه های SDN در این نوع حملات شده که سه سناریو مختلف برای شبکه طراحی شده است.

سناریو اول

در سناریو اول فرض شده بر این است که هیچ حمله ای روی شبکه صورت نگرفته و شبکه در حالت نرمال کار می کنند. این سناریو که در شبیه سازی به نام سناریو نرمال نام گذاری شده است به صورت زیر است:

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

شکل توپولوژی شبکه در حالت نرمال

در این قسمت مرجع تمام ترافیک در حالت نرمال شبکه وجود دارد و همانطوری که در شکل زیر مشاهد می شود، ترافیک بانک اطلاعاتی، درخواست وب، ویدئو کنفرانس، صوت و دسترسی از راه دور موجود می باشد. چنانچه ترافیکی در شبکه از این نوع تولید شود، مدل مرجع آن وجود دارد و می توان با مقایسه این نوع داده های مرجع، حملات مختلف راه تشخیص داد.

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

نمودار مرجع انواع ترافیک های مختلف شبکه در حالت نرمال

سناریو دوم

نفوذگر در شبکه ای که میزبان در آن قرار گرفته یا در شبکه ای دیگر، با فرستادن درخواست های جعلی بار ترافیکی شبکه را زیاد می کند و مانع از پاسخ کنترلر به درخواست های واقعی در شبکه می شود.

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

شکل نفوذگرها که شبکه را مورد حمله قرار داده اند

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

شکل توپولوژی سناریو دوم

در سناریو دوم که به نام Props 1 نام گذاری شده، طبق موارد گفته شده نفوذگر با فرستادن در خواست جعلی سعی در از کار انداختن کنترل می کند. این سناریو نیز دارای اطلاعاتی کامل از داد های مختلف می باشد تا بتوان با مقایسه با مدل مرجع به تحلیل کارایی سیستم پرداخت.

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

نمودار داده های ترافیکی سناریو دوم

سناریو سوم

در این سناریو نفوذگر از کانال کنترال استراق سمع کرده و عملا ارتباط سوئیچ با کنترلر را قطع می کند.

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

شکل سناریو استغراق سمع

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

شکل توپولوژی سناریو سوم

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

نمودار داده های حاصله از سناریو سوم

مقایسه اطلاعات سناریو ها

در ادامه به مقایسه و تحلیل نمودار های مختلف در این سه سناریو پرداخته می شود و شاخص های مختلف مورد ارزیابی قرار خواهد گرفت. با توجه به اینکه اطلاعات توسط پروتکل SSL انتقال پیدا می کنند، یکی از مهم ترین پارامتر ها در این زمینه متوسط زمان پاسخ ابجکت Response در پروتکل SSL می باشد. با توجه به شکل زیر متوسط زمان پاسخ در زمانی که حمله اتفاق افتاده خیلی بیشتر از زمان معمولی می باشد.

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

نمودار زمان پاسخ در پروتکل HTTP

همانطوری که در شکل بالا مشاهد می شود، از مقایسه زمان پاسخ با داده های مرجع می توان پی برد که حمله اتفاق افتاده است. در شکل های بعدی توزیع زمان پاسخ را مشاهد می کنیم و با مقایسه با مدل مرجع می توان دریافت که حمله ای صورت گرفته است.

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

شکل توزیع اماری زمان پاسخ در حالت نرمال

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

شکل توزیع آماری زمان پاسخ در حالت سناریو دوم

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

شکل توزیع آماری زمان پاسخ در حالت سناریو سوم

اطلاعات گراف ها نشان دهنده این واقیعت است که در شبکه، مدت زمان پاسخ در حالت نرمال ۰٫۰۰۳ ثانیه و سناریو اول ۰٫۰۰۵ و سناریو دوم ۰٫۰۰۶ می باشد.

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

پارامتر میزان دریافت اطلاعات بر حسب بایت و پکت در پروتکل HTTP : یکی دیگر از پارامتر های مهم، متوسط دریافت اطلاعات برای هر سه سناریو پیشنهادی می باشد. بررسی ها نشان می دهند که الگوی این سه سناریو برای دریافت اطلاعات دو الگوی متفاوت می باشد که می توان از این الگو ها برای کشف حملات در این شبکه ها استفاده نمود.

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

نمودار دریافت اطلاعات

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

اطلاعات (شکل بالا) نشان دهنده این واقیعت است که متوسط برای سناریو نرمال ۰٫۳۳۳۶ و برای دو سناریو دیگر بیشتر از ۰٫۳۳۳۶ می باشد. با توجه به اینکه شبکه SDN بر مبنای نرم افزار می باشد، یکی دیگر از متغییر های مهم برای تحلیل شبکه، پارامتر تاخیر در شبکه می باشد که مهم ترین پارمتر برای ارزیابی و کارایی شبکه است. بررسی ها و نتایج (نمودار زیز) نشان می دهد که در حالتی که روی شبکه حمله صورت می گیرد این میزان تاخیر بسیار مشهود بوده است.

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

نمودار میزان تاخیر در سه سناریو

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

اطلاعات آماری مربوط به سه سناریو مختلف در اینجا (شکل بالا) نشان می دهد که میزان تاخیر در حالت نرمال ۰٫۰۰۰۳۱۶ و در حالت های دیگر بیشتر از این را مقدار می باشد. در سناریو های پیشنهادی برای مقایسه، از برنامه کاربردی VOIP استفاده شده که یکی از پارمترهای اساسی در این نرم افزار مسئله jitter و تاخیر صوت در شبکه می باشد. با مقایسه الگوهای نشان داده شده می توان پیش بینی مناسبی برای حملات بر روی شبکه های SDN انجام داد.

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

نمودار jitter و تاخیر صوت

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

همانطوری که مشاهد می شود (شکل بالا)، میانگین در سناریو حالت نرمال ۰٫۰۰۰۰۲۱ و در سناریو های دوم و سوم بشتر این مقدار می باشد.

نمودار تاخیر ابتدای گره به انتهای گره: این نمودار به طور کلی بیان کننده متوسط ارسال اطلاعات از نقطه ابتدای به نقطه انتهای می باشد. این نمودار بیان کننده مدت زمان بسته ارسالی در طول شبکه می باشد. قاعدتا هر چه این زمان کمتر باشد شبکه ما کارایی مناسی داشته است.

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

نمودار تاخیر روی کنترلر

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

نمودار متوسط دسترسی از راه دور – زمان پاسخ (Response time)

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

شکل توزیع آماری تاخیر روی کنترلر در حالت نرمال (یک)

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

شکل توزیع آماری تاخیر روی کنترلر در حالت سناریو دوم

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

شکل توزیع آماری تاخیر روی کنترلر در حالت سناریو سوم

تشخیص و جلوگیری از حمله DOS در شبکه SDN با OPNET به همراه داکیومنت

همانطوری که که مشاهد می شود، متوسط زمان تاخیر و مقایسه آن با داده های مرجع نشان دهنده بالا بودن این مقادیر است.

نتیجه گیری

در این پروژه شبیه سازی شبکه با OPNET سه سناریو مختلف روی شبکه SDN مورد بررسی قرار گرفت و با پارامتر های اساسی نشان داده شده که چگونه می توان شبکه ای را که مورد حمله قرار گرفته، مورد بررسی قرار داد و با این پارامتر ها اقدام به مقاوم سازی شبکه در برابر حملات مختلف روی این شبکه کرد. در مدل پیشنهاد اشاره شد که ابتدا یک ترافیک مرجع به عنوان ترافیک نرمال در نظر گرفت شده و سپس وضیعت شبکه با این ترافیک مرجع مقایسه شده است. و نسبت به وجود حمله در شبکه های SDN تصمیم گیری خواهد شد. نکته ای که حائز اهمیت می باشد این است که در مقاله پایه (Impact on SDN Powered Network Services under Adversarial Attacks) عملا پیاده سازی روی ماشین مجازی (Virtual Machine) صورت گرفته است و در عمل پرامترهای تاخیر مورد مطالعه قرار گرفته شده، در صورتی که در مدل پیشنهادی به منظور بسط و توسعه، پارامترهای کارایی شبکه مورد بررسی قرار گرفته شده است.


مشاهده ویدئو در این باره

خوشحال خواهیم شد اگر نظر خودتون رو درباره این مطلب ثبت کنید

خطا!دکمه ریفریش را بزنید