轉發(fā)與控制分離引入的安全威脅

轉發(fā)與控制分離引入的安全威脅,從網絡安全的角度看，軟件定義網絡將網絡設備控制面與數(shù)據(jù)面分離，在實現(xiàn)網絡流量靈活控制的同時，也引入了新的安全威脅和挑戰(zhàn)。

根據(jù)SDN交換機對數(shù)據(jù)包的處理流程，當數(shù)據(jù)包不能匹配所有流表中的所有流表項時，交換機將包通過與控制器間的安全通道轉發(fā)給控制器處理。在控制面，新引入的SDN控制器由于邏輯集中的特點，容易成為攻擊的對象，脆弱的SDN控制器面臨的具體安全風險如下：

（1）拒絕服務攻擊。攻擊者通過攻擊交換機，修改交換機流表中各表項的actions字符項，使交換機將所有數(shù)據(jù)包轉發(fā)給控制器，從而導致控制器需要處理大量的消息?；蛘吖粽邆卧齑罅吭诮粨Q機流表中并不存在或無法處理的數(shù)據(jù)報文，由交換機提交偽造報文給控制器處理，從而占用控制器資源，造成拒絕服務攻擊。

（2）繞過安全機制。由于安全設備與被保護的節(jié)點/網絡之間不再是物理連接，而是可通過流的重定向機制使流繞過安全策略所要求的安全機制，造成安全機制失效。

（3）非安全的控制通道容易受到中間人的攻擊，一旦控制器被攻擊者劫持，不同于傳統(tǒng)網絡需要控制大規(guī)模僵尸節(jié)點，只通過SDN控制器就可以改變流轉發(fā)路徑，可將大量的數(shù)據(jù)流發(fā)往其他被攻擊的業(yè)務節(jié)點，破壞業(yè)務可用性，造成網絡服務的大面積癱瘓。

針對控制器的拒絕服務攻擊的主要防護機制是采用流量控制和多控制器兩種思路。流量控制提供主動遏制手段。例如，通過限制控制器的訪問頻度，避免控制器在短時間內處理大量頻繁事件（如未知流規(guī)則請求等）。多控制器結構中，可采用應用層負載均衡提供控制器在DDoS攻擊下的生存性。在協(xié)議方面，OpenFlow協(xié)議1.2版已經增加了對多控制器的支持，可為不同控制器設定不同角色，但協(xié)議并未規(guī)定交換機的控制權如何在控制器之間切換，參考文獻中設計了不同角色的控制器在交換機之間的切換方式，實現(xiàn)了一種負載均衡的彈性控制面。

數(shù)據(jù)面的主要攻擊對象是數(shù)據(jù)平面的關鍵節(jié)點——SDN交換機。除面臨傳統(tǒng)網絡中的消耗交換機資源實施拒絕服務攻擊、非法接入等攻擊外，由于SDN交換機與控制層更多的交互，攻擊者通過部署非法應用、入侵控制器等實現(xiàn)對交換機流表的非法操作，完成以下對用戶數(shù)據(jù)流的攻擊。

（1）改變流轉發(fā)路徑，非法復制數(shù)據(jù)包并通過另外的路徑轉發(fā)給攻擊者用以竊取信息或實施中間人攻擊。

（2）修改對數(shù)據(jù)包的操作動作，改變交換機在轉發(fā)流時對數(shù)據(jù)包的操作動作。例如，丟棄數(shù)據(jù)包實施拒絕服務攻擊。

（3）設定非法的轉發(fā)路徑，從而占用某用戶的轉發(fā)端口等網絡資源或通過注入精心設計的數(shù)據(jù)包進行會話劫持攻擊。

應對SDN交換機的拒絕服務攻擊通常使用的方法就是采用流控、時間過濾、擁塞丟包和超時調整，并且在交換機上實施攻擊監(jiān)測。流控能夠讓交換機在DDoS攻擊過程中保持響應，事件過濾能讓控制器選擇處理時間，提供系統(tǒng)恢復能力，擁塞丟包能夠丟掉異常的數(shù)據(jù)包，并在無法隔離攻擊者的時候通過QoS機制共同發(fā)揮作用，超時調整機制可以減輕DDoS攻擊的危害。

參考文獻把檢測算法分別部署在不同交換機上，創(chuàng)新性地提出了在SDN網絡中針對數(shù)據(jù)平面隱蔽DDoS攻擊的方法和檢測方法，但算法的實現(xiàn)和升級特別復雜。

SDN網絡的另一個重要特征就是將封閉的網絡能力進行抽象，并通過接口進行開放?？刂破鞅毕蚪涌诳蓪DN網絡中底層資源由控制器呈現(xiàn)給應用層開發(fā)者。不安全的接口可能使整個網絡的安全受到威脅，例如：

（1）網絡行為被修改。如果惡意攻擊者通過注入等手段，使某應用發(fā)送的請求參數(shù)與業(yè)務邏輯期望不符，可使該應用的網絡行為被篡改，從而下發(fā)惡意指令。

（2）網絡通信被非法監(jiān)聽。如果接口是未加密的，攻擊者就能監(jiān)聽整個調用過程，從而使敏感信息（如用戶信息、調用token等）被竊取。

（3）截獲并修改數(shù)據(jù)包。攻擊者可以采用中間人攻擊，重放或修改后重發(fā)請求，達到偽造請求的目的。

（4）引發(fā)DDoS攻擊。如果應用接口沒有檢查機制，容易被攻擊者反復調用，向網絡設備下發(fā)大量無用的流表，影響數(shù)據(jù)面效率；或將大量流表引到性能較弱的節(jié)點，造成該節(jié)點拒絕服務。

因此，接口的安全設計非常重要，它保證了接口數(shù)據(jù)交互的完整性、機密性，保證接口的可用性，具有權限管理機制，以保證底層資源被合理調用，無越權操作。

對SDN網絡運營者來說，在其具有更強管控能力的控制層采用必要機制應對應用層和開放接口引入的安全風險是可行的方案，如采用細粒度API訪問權限控制策略，控制層針對每一個應用賦予滿足其功能要求的最低限度API訪問權限，并對通過API接口下發(fā)的應用層策略進行規(guī)則檢查，檢測下發(fā)的規(guī)則是否符合安全策略、業(yè)務邏輯及行為特征等的要求。參考文獻在控制器上擴展出對應用程序的角色認證、規(guī)則沖突檢測和安全規(guī)則轉換等功能，構建了一個強制安全的控制器內核。