数据平面的重要攻击对象是数据平面的要害节点一-SDN交换机,高防服务器可通过耗费流表资源对SDN交换机实行拒绝服务攻击。具体方法包含直接入侵交换机,用虚伪信息填满流表,或通过向把持器发送大批数据包,致使把持器为每个数据包建立一条转发流规矩,从而导致流表溢出。以POX模块转发为例,它采用数据链路层自学习交换,当把持器仅通过火字段进行配置时,只需变更数据包头部某些值(如UDP包的源地址与目标端口等),就能使把持器配置出一条新的转发流规矩。拒绝服务攻击的效果表现在丢包和交换机产生“流表满”毛病,增大流结束超时时间,可增长攻击成功的概率。以上攻击方法对交換机的输入缓存( Input Buffer)也有效,当前的 Openflow协议对交换机输入缓存设置了最小速率把持,当包达到速率超过把持门限时,表现出的是输入缓存丢包。
应对这种拒绝服务攻击的方法如下
1、采用流控( Rate Limiting)、事件过滤、拥塞丢包和超时调剂。流控能让把持器或交换机在DoS攻击过程中保持响应;事件过浪能让把持器选择性地处理事件,进步系统恢复能力;拥塞丢包机制能够丟掉异常的包,并在无法隔离攻击者的时候,通过Q0S机制与拥塞丢包机制共同起作用;超时调剂机制可以减轻DoS攻击的迫害。
2、流聚合。在把持器上将多条具有雷同动作的流聚合成一条流,从而通过降低流操作的粒度降低把持器的负载,减小流表溢出的概率。
3、在交换机和把持器上实行攻击监测。
4、在把持器上实行严格的访问把持策略。
数据平面中节点的非法接入也是迫害极大的安全要挟,防止恶意接入网络的有效方法是供给身份认证机制。当采用TLS安全协议时,可引入认证中心对网络设备和把持器进行认证并颁发证书。这种处理方法略显复杂,由于当前Openflow网络重要安排于私有云中,属于相对可信环境,因此几乎都不采用。网络设备的増加和退出是由网络管理员进行操作,使把持层能够获取各个网络设备的信息,从而禁止恶意节点的非法接入。在广域网或采用散布式把持平面的SDN网络中,需要考虑动态的节点参加,或本或内的网络设备需要向邻接域内的把持器发起连接,情况会复杂许多。
与传统网络相比,SDN交换机有更多的把持层交互,把持接口的功效更壮大。因此,除直接渗透有软弱性的交换机外,攻击者通过安排非法利用、入侵把持器都可实现对交换机流表的非法操作,完成以下对用户数据流的攻击。
1、转变流转发路径,实行中间人攻击,进行信息窃取和修正。
2、修正对数据包的操作动作,转变交换机在转发流时对数据包的操作动作。例如,丢弃数据包实行拒绝服务攻击,非法复制数据包并通过另外的路径转发给攻击者窃取信息或实行中间人攻击。
3、设定非法信息的转发路径,从而占用某用户的转发端口等网络资源实行拒绝服务攻击,或通过注入精心设计的数据包进行会话劫持攻击。
SDN网络也为数据平面安全供给了传统网络不具备的能力。例如,利用SDN对网络基础设施层的软件定义能力实现MTD( MovingTarget Defense),从而变换数据平面的攻击面,增长攻击成本和难度,利用SDN可实现从物理层到利用层的全协议栈的MTD進;通过SDN供给数据的多路径传送,可供给L4负载均衡在网络不同路径间分割数据包,从而进步网络在DDoS攻击下的生存能力,并进步窃听难度,也可利用多路径供给不同等级的安全信道。
SDN供给的集中把持能力还可为数据平面供给类似于传统面向连接网络的信令功效。以下展现了可信通道利用供给的安全策略是如何把持敏感数据在SDN网络中安全传送的。
1、要发送敏感数据的一方M1首先发送个信令包到网络中,这个包中包含了敏感数据在网络中传输时的安全策略,如哪条链路或交换机是恶意的,尽量避开。
2、这条消息会通过 PACKET IN消息被把持器获取,并且这个包中有关于M1和把持器之间的认证信息,使得双方互相建立信任关系。
3、把持器把策略发送给TPA( TrustedPath Application)。
4、TPA会根据这个安全策略来指定合适的可信通道(联合安全策略和最小路径算法,将安全参数参加路径盘算),并且TPA会下发Openflow命令给底层交换机,如生成流表项来建立敏感数据的可信通道。
5、M1会收到来自把持器发来的确认信息,告诉M1敏感数据的可信通道已经建好。
6、至此,M1就可以传送敏感数据给M2了。
利用类似思想,还可以设计更多的“信令包”,在数据通信前提交给把持层,以完成其他功效。例如,在“信令包”中提交用户信息,从而为流供给认证功效,网络只为经过授权的用户建立流。
