您好!欢迎光临云杰通信官网,我司专业提供企业SD-WAN SaaS应用加速、SD-WAN组网、云专线接入服务。
新闻动态

行业最新前沿技术分享

首页 公司简介 新闻动态 常见问题

数据中心SDN部署容易遭受的攻击

发布时间:2021-02-22浏览次数:111

数据中心SDN部署容易遭受的攻击

  大多SDN系统部署在数据中心,并且数据中心会频繁的使用数据中心互联(Data Center Interconnect, DCI)协议。例如:使用GRE的网络虚拟化(Network Virtualization using GRE, NVGRE)、无状态传输通道(Stateless Transport Tunneling, STT)、虚拟可扩展LAN(Virtual Extensible LAN, VXLAN)、思科虚拟化覆盖传输(Overlay Transport Virtualization, OTV)、L2MP、TRILL-based、SPB等等。这些协议可能缺少加密和认证机制来保证数据包内容在传输过程中的安全。这些新的协议在设计之初或在满足供应商或客户需求实现这些协议的时候,不免有漏洞存在。攻击者可能目的很明确的创建一个具有欺骗性质的数据流,让其在DCI连接中传输,或者通过针对DCI连接发起一个拒绝服务攻击。

  控制层的攻击

  SDN控制器是个很明显的攻击目标。攻击者可能会为了不同的目的而把SDN控制器作为攻击目标。攻击者可能会向控制器发送伪装的南向/北向接口对话消息,如果控制器回复了攻击者发送的南向/北向接口对话消息,那么攻击者就有能力绕过控制器所部署的安全策略的检测。

  攻击者可能会向控制器发起DoS或其他方式的资源消耗攻击,使得控制器处理Packet In消息变得非常缓慢。甚至可能导致整个网络崩溃。

  SDN控制器通常运行在像Linux这样的操作系统上。如果控制器运行在通用操作系统上,那么操作系统中存在的漏洞将会成为控制器的安全漏洞。而控制器的启动和工作通常是使用默认密码并且没有任何其他安全配置。所以,SDN工程师通常很小心的工作,在生产配置过程中都不愿碰这些控制器,因为害怕搞坏如此脆弱的系统。

  最糟糕的情况是:攻击者部署自己的控制器,并且欺骗那些OF交换机,让它们误以为攻击者控制的“伪装”控制器为主控制器。随后,攻击者可以向OF交换机的流表中下发流表项。此时,SDN工程师部署的控制器对这些数据流没有访问控制权限。在这种情况下,攻击者拥有了网络控制的最高权限。

热门产品
SAAS应用加速 SD-WAN组网 SD-WAN云专线

咨询热线1:136-3177-9516

咨询热线2:0769-88900720

公司地址:广东省东莞市南城区东莞大道428号寰宇汇金中心9栋B座18楼(总部)

主要业务Main Business
行业解决方案Industry Solutions
关于我们About Us
在线客服微信

获取最新优惠

Copyright © 版权所有2021-2022 广东云杰通信有限公司—SD-WAN服务厂商|SD-WAN组网方案 粤ICP备18062193号