数据中心SDN部署容易遭受的攻击

2021-02-22 16:33:40 云杰通信 105

数据中心SDN部署容易遭受的攻击

  大多SDN系统部署在数据中心,并且数据中心会频繁的使用数据中心互联(Data Center Interconnect, DCI)协议。例如:使用GRE的网络虚拟化(Network Virtualization using GRE, NVGRE)、无状态传输通道(Stateless Transport Tunneling, STT)、虚拟可扩展LAN(Virtual Extensible LAN, VXLAN)、思科虚拟化覆盖传输(Overlay Transport Virtualization, OTV)、L2MP、TRILL-based、SPB等等。这些协议可能缺少加密和认证机制来保证数据包内容在传输过程中的安全。这些新的协议在设计之初或在满足供应商或客户需求实现这些协议的时候,不免有漏洞存在。攻击者可能目的很明确的创建一个具有欺骗性质的数据流,让其在DCI连接中传输,或者通过针对DCI连接发起一个拒绝服务攻击。

  控制层的攻击

  SDN控制器是个很明显的攻击目标。攻击者可能会为了不同的目的而把SDN控制器作为攻击目标。攻击者可能会向控制器发送伪装的南向/北向接口对话消息,如果控制器回复了攻击者发送的南向/北向接口对话消息,那么攻击者就有能力绕过控制器所部署的安全策略的检测。

  攻击者可能会向控制器发起DoS或其他方式的资源消耗攻击,使得控制器处理Packet In消息变得非常缓慢。甚至可能导致整个网络崩溃。

  SDN控制器通常运行在像Linux这样的操作系统上。如果控制器运行在通用操作系统上,那么操作系统中存在的漏洞将会成为控制器的安全漏洞。而控制器的启动和工作通常是使用默认密码并且没有任何其他安全配置。所以,SDN工程师通常很小心的工作,在生产配置过程中都不愿碰这些控制器,因为害怕搞坏如此脆弱的系统。

  最糟糕的情况是:攻击者部署自己的控制器,并且欺骗那些OF交换机,让它们误以为攻击者控制的“伪装”控制器为主控制器。随后,攻击者可以向OF交换机的流表中下发流表项。此时,SDN工程师部署的控制器对这些数据流没有访问控制权限。在这种情况下,攻击者拥有了网络控制的最高权限。