作为常见且危害巨大的一类网络攻击方式,分布式拒绝服务(DistributedDenial of Service,DDoS)放大攻击经常被黑客用来对网络设施进行攻击破坏。而鉴于DNS服务器开放且易被利用的特点,很多黑客常选择使用DNS放大攻击的方式向目标主机发起DDoS放大攻击。针对这类攻击,传统网络中现有的防御思路都是在企业网关入口设置专用的DDoS防御平台进行流量清洗,或是在网络元件端进行流量过滤。这些方式可视性差、灵活性差,或是需要引入第三方专用设备,导致成本变高。作为未来网络新型架构之一,软件定义网络(Software Defined Networks,SDN)也面临着相同的威胁。但SDN架构的可视性和可编程性为攻击防御机制的设计提供了新的思路。结合上述优势,本文在SDN架构下提出一种由三个防御阶段组成的DNS放大攻击防御机制,具体包括攻击初步检测阶段、攻击确认和受害主机保护阶段与傀儡机发现和隔离阶段。1)攻击初步检测阶段。对流经转发层的DNS请求数据包测速来进行攻击的初步检测。接着对其中超速包的源IP通过熵值运算来衡量其集中程度,判断攻击是否可能发生并找出疑似受害主机。2)攻击确认和受害主机保护阶段。充分利用网络可视性和OpenFlow协议灵活性的优势通过分析疑似受害主机端口的DNS请求包和回复包的数量来准确判定攻击是否发生并迅速保护受害主机,同时确保对受害主机正常DNS访问的影响很小。3)傀儡机发现和隔离阶段。通过利用端口信息进行攻击路径回溯的算法精确找出并迅速从网络中隔离傀儡机,使网络流量完全恢复正常。最后,基于Ryu控制器和Mininet仿真平台对整体防御机制进行仿真实验,并对实验结果进行详细分析和评估。仿真实验结果表明防御机制有效且稳定,为SDN网络中DDoS放大攻击的防御研究提供了新的更加灵活的思路。