Mitigação de ataques DDoS em redes SDN: explorando intenções como mecanismo de defesa no ONOS

Abstract

A crescente sofisticação dos ataques de negação de serviço distribuído (DDoS) exige redes dinâmicas e resilientes. As Redes Definidas por Software (SDN) e as Intent Driven Networks (IDN) oferecem flexibilidade e programabilidade em tempo real, permitindo maior controle da rede. No entanto, soluções SDN existentes frequentemente dependem de mecanismos estáticos ou intervenções manuais para segurança. Isso gera uma lacuna na defesa adaptativa contra ataques dinâmicos. Este trabalho investigou a viabilidade de utilizar intents do controlador ONOS para mitigar ataques DDoS. Para isso, desenvolveu-se um protótipo experimental. A metodologia seguiu a Design Science Research Methodology (DSRM). O ambiente de teste foi simulado no Mininet, utilizando uma topologia Fat-Tree, com granularidade 4. O controlador ONOS gerenciou o plano de controle. O sFlow-RT monitorou o tráfego em tempo real, coletando métricas para identificação de anomalias. Ataques DDoS do tipo SYN Flood foram simulados usando a ferramenta hping3 em diferentes cenários. A mitigação foi implementada manualmente via remoção seletiva de intents no ONOS, utilizando sua API REST. O tráfego da rede foi analisado detalhadamente antes e após cada intervenção. Os resultados demonstraram a capacidade de isolar seletivamente os fluxos maliciosos. A reconfiguração dinâmica da rede foi efetiva. Isso resultou na interrupção do tráfego indesejado. Consequentemente, a conectividade legítima e a continuidade dos serviços foram preservadas. A intervenção manual por meio de intents no ONOS mostrou-se eficaz. Isso validou, em um contexto exploratório, o potencial das IDNs para construir redes mais adaptáveis e resilientes. Em conclusão, o estudo confirma a viabilidade do uso de intents no ONOS como mecanismo de mitigação manual em redes SDN. Embora semi-automatizada, a abordagem é promissora. Ela abre caminho para o desenvolvimento de futuras soluções mais autônomas contra a crescente sofisticação das ameaças de negação de serviço.

The increasing sophistication of distributed denial-of-service (DDoS) attacks demands dynamic and resilient networks. Software-Defined Networks (SDN) and Intent Driven Networks (IDN) offer real-time flexibility and programmability, enabling greater network control. However, existing SDN solutions often rely on static mechanisms or manual interventions for security, creating a gap in adaptive defense against dynamic attacks. This work investigated the feasibility of using ONOS controller intents to mitigate DDoS attacks. To achieve this, an experimental prototype was developed. The methodology followed the Design Science Research Methodology (DSRM). The test environment was simulated in Mininet, using a Fat-Tree topology with a granularity of 4. The ONOS controller managed the control plane, while sFlow-RT monitored realtime traffic and collected metrics for anomaly identification. SYN Flood-type DDoS attacks were simulated using the hping3 tool in different scenarios. Mitigation was manually implemented via selective removal of intents in ONOS using its REST API. Network traffic was analyzed in detail before and after each intervention. The results demonstrated the capability to selectively isolate malicious flows. Dynamic reconfiguration of the network was effective, resulting in the interruption of unwanted traffic. Consequently, legitimate connectivity and service continuity were preserved. Manual intervention using intents in ONOS proved effective, validating in, an exploratory context, the potential of IDNs for building more adaptive and resilient networks. In conclusion, this study confirms the feasibility of using intents in ONOS as a manual mitigation mechanism in SDN environments. Although semi-automated, the approach is promising and paves the way for the development of more autonomous solutions to counter the increasing sophistication of denial-of-service threats.