搭建一个简单的实验环境，hacker攻击某一网络中的web服务器，web服务与交换机s1相连，此外s1也作为sflow的代理sflow agent，并且受控于floodlight控制器。

• 搭建流程：使用docker、ovs虚拟化技术分别模拟出hacker、web，使用floodlight、sflow collector的docker镜像进行试验，搭建详细步骤如下，具体见注释

  //创建hacker、web
  docker run -itd —network=none —name=hacker hacker:1
  docker run -itd —network=none —name=web server/apache

  //常见floodlight控制器
  docker run -d -p 6653:6653 -p 8080:8080 —name=floodlight glefevre/floodlight

  //创建s1
  sudo ovs-vsctl add-br s1

  //s1连接hacker、web并且分配ip
  sudo ovs-docker add-port s1 veth hacker —ipaddress=10.0.0.1/24
  sudo ovs-docker add-port s1 veth web —ipaddress=10.0.0.2/24

  //设置s1受控于floodlight控制器
  sudo ovs-vsctl set-controller s1 tcp:127.0.0.1:6653

  //配置s1为sflow代理
  sudo ifconfig s1 10.0.0.3/24
  sudo ovs-vsctl — —id=@sFlow create sFlow agent=s1 target=\”127.0.0.1:6343\” header=128 sampling=64 polling=1 — set bridge s1 sFlow=@sFlow

  //创建sflow collector，使用的是sflow/ddos-protect镜像
  docker run -p 6343:6343/udp -p 8008:8008 —name=sflow sflow/ddos-protect

发起DDoS攻击

             本次试验使用的是自己封装的hacker镜像，其中包含了hping3 工具，本次试验使用该软件发起DDoS攻击

判断DDoS攻击

1. 向sFlow-RT设置网络流量阈值，超过阈值的设置为异常流量
2. sFlow-RT一旦发现异常流量，然后通过数据包长度与IP地址作为流量特征为DDoS攻击提供判断依据

3. 若判断为攻击流量，通过SDN控制器下发相应的OpenFlow流表项，使得交换机丢弃匹配的数据包，从而阻断异常流量

使用SDN控制器floodlight减缓DDoS攻击

下发OpenFlow流表，丢弃所有的数据包，这里采用比较粗暴的方法，实际工作中不会采用如此不合理的方式，这里目的在说明，流表可以控制减缓DDoS攻击，对于流表的定义详细见Floodlight Controller