资源通常包括网络单元的CPU资源。这些类型的资源在图1中分别被示为每个网络单元122中的TCAM资源123和CPU资源124。
[0027]通常用于支持数据流的网络单元122的存储器资源和处理器资源(即分别为TCAM资源123和CPU资源124)通常在网络单元122处在能力上有限(例如,由于TCAM资源和CPU资源相对高的成本)。例如,网络单元的现有TCAM的最大能力通常是大约36Mbit,其可容纳大约64K到128K的数据流条目。类似地,例如网络单元的现有CPU的最大数据速率通常为约17Mbps,这比数据流的数据速率小多个数量级。因此,数据中心网络120的网络单元122的存储器资源和处理器资源的期望将是相当有限的。
[0028]在数据中心网络120中,网络单元122的有限资源可被多种类型的针对数据中心网络120的恶意攻击所利用。例如,网络单元122的有限资源可以被利用以便执行资源利用攻击,在所述资源利用攻击中网络单元122的特定类型资源被过度利用(例如,高于阈值利用水平的推送),以使得网络单元122可能无法有效地从合法客户端接受新的数据流,或者在所述资源利用攻击中网络单元122的特定类型资源被耗尽,以使得网络单元122无法从合法的客户端接受的新数据流。
[0029]—般地,通过利用使用OpenFlow在数据中心网络120内建立新的数据流的新的数据路径所涉及的工作(和资源)量,数据中心网络120内的VM 112或在数据中心网络120外部的主机可经由通过VM 112或在数据中心网络120外部的主机生成的恶意流量攻击数据中心网络120。一般地,在这样的攻击中的恶意流量并不试图耗尽网络带宽或服务器资源;相反,恶意流量可包括去往在数据中心环境100 (其可包括善意或恶意VM 112)内的VM112的新的流请求(例如数据流的第一数据分组)。应当理解,对于以这种方式启动的每个恶意数据流,该数据流将消耗接收该数据流的新的流请求的第一网络单元122上的TCAM资源123和CPU资源124,因为第一网络单元122将该新的流请求从数据平面移动到控制平面,转发该新的流请求给控制器127,从控制器127接收用于数据路径的数据路径信息(基于通过控制器127对该数据流的数据路径的计算),并在第一网络单元122的TCAM资源123中维护的转发表中安装相关联的转发条目。除了消耗第一网络单元122的TCAM资源123和CPU资源124,每个恶意数据流还消耗形成用于该数据流的数据路径(例如,在从第一网络单元122到该数据流的相关联的目的地的数据路径上的网络单元122)的其它网络单元122中的每一个的一些TCAM资源123和一些CPU资源124。以这种方式,恶意数据流可过度利用或甚至耗尽网络单元122的TCAM资源123 (从而导致在网络单元122上的TCAM资源状况(condit1n) /攻击),或者可过度利用或甚至耗尽网络单元122的CPU资源124 (从而导致网络单元122上的CPU资源状况/攻击)。应当理解,网络单元122的TCAM资源123被预期比网络单元122的CPU资源124更“棘手(sticky)”,并且因此,在网络单元122上基于TCAM的攻击被预期较在网络单元122上基于CPU的攻击可能更为严重。同样应当理解,在给定的网络单元122内的TCAM资源123和CPU资源124之间存在固有的冲突(inherenttens1n)(例如,减少用于流的超时值导致更多可用的TCAM条目,但是增加了 CPU负载,因为更多的流需要被转发到控制器127)。同样应当理解,在网络单元122上的TCAM耗尽攻击可利于在网络单元122上的CPU耗尽攻击,因为一旦网络单元122的TCAM资源123耗尽,则随后新的数据流可能在网络单元122上的软件内被处理,从而消耗网络单元122的额外CPU资源124,这可导致网络单元122的CPU资源124的耗尽。
[0030]网络单元122的有限的TCAM资源123可被利用以便执行TCAM耗尽攻击。在TCAM耗尽攻击中,目标是完全消耗网络单元122的TCAM资源123以使得网络单元122无法从合法的客户端接受新的数据流。例如,在数据中心环境100内的被盗用或恶意VM 112可以启动TCAM耗尽攻击,在其中数据中心网络120的网络单元122的TCAM资源123完全被消耗,以使得网络单元122无法从合法客户端接受新的数据流。在一些数据中心中,例如恶意的VM可以通过简单地侦测(ping)在数据中心内所有的其它VM来淹没(overwhelm)交换机。例如,在具有1K主机的合理大小的数据中心中,其中每个主机可以承载十个或更多的VM,从VM中的一个VM到数据中心其它VM中的每一个VM的侦测可潜在消耗在恶意的VM上游的网络单元中的所有TCAM资源,从而导致在恶意的VM上游的网络单元中的TCAM耗尽状况。类似地,例如甚至对于其中到任意端口的通信受限的数据中心,简单的侦测公共端口可潜在地消耗在恶意的VM上游的网络单元中的所有TCAM资源,从而导致在网络单元中的TCAM耗尽状况。应当理解,TCAM耗尽攻击类似于分布式拒绝服务(DDoS)攻击,虽然TCAM耗尽攻击是针对由于间接参与路径设立(相对于其在OpenFlow中的直接参与)而不知道先前被利用了的新类型的信息资源的新型攻击。虽然主要关于TCAM耗尽攻击进行了描述,但应当理解,网络单元122的有限TCAM资源123可被利用以便执行TCAM过度利用攻击,或者尝试的TCAM耗尽攻击可能导致TCAM过度利用的状况,以使得网络单元122的TCAM资源123的过度利用可以具有在数据中心网络120上的不利影响。
[0031]网络单元122的有限CPU资源124可被利用以便执行CPU耗尽攻击。在CPU耗尽攻击中,目标是完全消耗网络单元122的CPU资源124,以使得网络单元124无法从合法的客户端接受新的数据流。例如,数据中心内被盗用或恶意的VM可启动CPU耗尽攻击,在其中VM向目标网络单元发送相对小但恒定大量的新的流请求消息,以使得网络单元无法从合法的客户端接受新的数据流。虽然主要关于CPU耗尽攻击进行了描述,但应当理解,网络单元122的有限CPU资源124可被利用,以便执行CPU过度利用的攻击,或者尝试的CPU耗尽攻击可能导致CPU过度利用的状况,以使得网络单元122的CPU资源124的过度利用可具有在数据中心网络120上的不利影响。
[0032]此外,同样存在可导致TCAM耗尽(或TCAM过度利用)和CPU耗尽(或CPU过度利用)中的一种或两者的其它类型的攻击。例如,当专用数据中心不具有在VM上的“默认关闭”防火墙时,数据中心的恶意VM更容易地侦测所有的其它VM,连接到开放端口,发送流量,或采取可能导致TCAM耗尽和CPU耗尽中的一种或两者的其它措施。例如,甚至当“默认关闭”防火墙在VM上使用时,恶意的VM可以简单地连接到通常开放的端口(例如端口 80和443)。例如,源自数据中心外部的流量同样可导致上面所讨论的攻击类型,特别是在数据中心的核心交换机处或在其中外部流量被路由到个别租户的点处。例如,数据中心外部的恶意源可以从数据中心外部生成流量,该流量导致在数据中心内的数据流被散布到在数据中心中的一些或所有VM(其类似于连接到流行的端口(popular port),但是是从数据中心的外部)。
[0033]应当理解,这样的基于资源的攻击可以从数据中心环境100的内部(例如由被恶意实体作为代理使用以攻击数据中心网络120的数据中心环境100的被盗用VM 112、由试图攻击数据中心网络120的活动且恶意的数据中心环境100的VM 112等等)或从数据中心环境100的外部(例如由被通过恶意实体作为代理使用以攻击数据中心网络120的数据中心环境100外部的被盗用主机、由试图攻击数据中心网络120的活动且恶意的数据中心环境100外部的主机等等)发起。同样应当理解,攻击者可以通过考虑数据中心环境100的各种特征使得攻击更为强大(例如,数据中心网络120的拓扑、由数据中心环境100的应用生成的流量的性质等)。此外,基于现有数据中心的分析(例如,分析数据中心的拓扑、分析数据中心的工作负载、以常用的数据中心拓扑将不同网络单元需要支持的数据流近似(approximate)等等),已确定(I)由于逐单元时间的新的数据流数量的相对大的变化,即使正常流量状况也可以导致资源耗尽,(2)通过将攻击转到数据中心的工作负载,攻击者可以以相对低的开销来启动这样的资源耗尽攻击,以及(3)与其它类型交换机相比,在相对大数量的数据流中所涉及的具有密集连接的核心交换机的数据中心拓扑特别容易受到这样的资源耗尽攻击。此外,应当理解,与数据中心相关联的某些合法活动可以至少首先显示为在数据中心上的攻击(例如,诸如在相对短的时间周期中应用产生大量的数据流)。
[0034]在分析可针对SDN发起的基于资源攻击的潜在类型中,假设:(I)控制器是安全、可扩展的,并且正确运行的,以及(2)在控制器和网络单元之间的连接(例如安全套接层(SSL)连接或其它类型连接)是安全的,该连接被用作用于在控制器和网络单元之间通信的控制信道(例如,用于监视资源利用水平,在网络单元上安装规则等)。应当理解,一个或多个这些假设可被放宽或忽略,并且流偏转仍可用于减轻基于资源攻击的影响。
[0035]应当理解,对于DDoS攻击,制止物(deterrent)通常被设计为处理网络带宽或服务器资源上的攻击。例如,网络带宽防御通常依赖于诸如能力、路由器上的公平排队、速率限制和分组的选择性丢弃这样的机制。例如,服务器资源的防御通常依赖于诸如能力、限制状态、以及连接完成后的分配状态这样的机制。然而,这样的防御不被期望能够阻止在OpenFlow中TCAM资源和CPU资源上的基于资源的攻击,因为它们主要关注于包含的流量的量而非流的数量。例如,公平排队可以限制攻击流的带宽,但是其将不会限制流的数量。此夕卜,尽管某些防御机制在某些情况下可以至少部分地帮助保护资源耗尽攻击,但是该防御机制可能无法提供在其它情况下针对资源耗尽攻击的任何保护。例如,控制器可施加对可从MAC地址或IP地址发起的流数量的限制,并且如果这种限制被违反,则设定规则以在网络单元处丢弃任何新的数据流。如果攻击从数据中心内部发起,则这可能确实有帮助,因为控制器知道每个主机的身份,并且因此可以跟踪每个主机的活动并阻止欺骗;然而,对于来自数据中心外部的攻击,攻击者可伪造源地址,并且因此使这种防御效果无效。同样,对于基于能力的方法,考虑到在