SDN曝安全漏洞 利用流表展开KYE攻击

软件定义网络(SDN)控制器通过向交换机中添加新的流规则来响应网络状况,而意大利的研究人员表示将会造成意想不到的安全问题。

该研究人员表示SDN环境可能造成系统管理员不希望公之于众的信息泄露,包括网络虚拟化设置、服务质量(QoS)策略,更重要的是将泄露安全工具的配置信息,如网络扫描攻击检测阈值。

他们表示即便是一个单独的交换机的流表,也能泄露这类信息,并且将会作为一个侧信道被攻击者所利用。

来自帕多瓦大学(University of Padova)的Mauro Conti、Sapienza大学的Fabio De Gaspari、Luigi Mancini组成的科研小组,特别关注SDN被攻击者利用创建目标网络的配置文件,这是他们所强调的Know Your Enemy (KYE)攻击。

例如,他们认为攻击者将采取如下攻击行为:

☘ 连接到大部分SDN交换机都有的被动侦听端口,包括用于远程调试、检索流表的端口(他们以HP Procurve的dpctl工具为例);

☘ 从抖动(jitter)中推断一些流表信息;

☘ 抓取控制流(不使用TLS或不通过证书进行验证)

☘ 利用交换机操作系统可能存在的漏洞,如系统后门;

☘ 将流表或存储器内容复制到交换机之外。

文章指出,这些都不是针对特定的设备:“KYE攻击利用的是SDN结构的弱点,攻击的是按需管理网络流量的设备,这又是SDN的主要特点和优势。”

由于SDN的设计旨在通过向交换机中添加流规则来响应网络,攻击者很容易找出控制器向交换机添加规则的方式。

因此,KYE攻击只需要探测出环境(发现交换机上可供他们访问的流规则,无论是内部的或是远程的);并使用推理阶段的信息来制定符合特定规则的策略。

他们提供的解决方案是SDN架构师需要在他们的网络中混合一些其他流,以避免攻击者利用SDN响应获得相关的网络信息。“如果有可能阻止攻击者了解流量对应的流规则,KYE攻击将从源头上解决。”

这看起来似乎并不是很困难:文中给出的一个例子是控制器围绕网络路径,而不是直接连接到交换机,这使得网络更加难以被攻击。

原文发布于微信公众号 - SDNLAB(SDNLAB)

原文发表时间:2016-08-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏SDNLAB

Open5GCore简介

调研5G相关的东西时了解到了一个5G核心网的测试平台,名为open5GCore,颇有趣味,于是在这里进行简要的整理和概括,感兴趣的读者也可以前往其官网 http...

46070
来自专栏古时的风筝

为什么你在群里提的技术问题没人回答?

作为一个程序员,把代码写好是本分,但仅仅是写好代码是不够的,工作的过程中总免不了要与别人打交道。几乎隔一段时间,我就会发现有些人身上出现下面的这两个问题。第一个...

13420
来自专栏HBStream流媒体与音视频技术

C++实现RTMP协议发送H.264编码及AAC编码的音视频,摄像头直播

  RTMP(Real Time Messaging Protocol)是专门用来传输音视频数据的流媒体协议,最初由Macromedia 公司创建,后来归Ado...

46050
来自专栏IMWeb前端团队

FreeNG | 基于Angular4的前端UI框架

本文作者:IMWeb 郭明慧 原文出处:IMWeb社区 未经同意,禁止转载 FreeNG是一款完全响应式的前端UI框架,它采用了主流的左右两栏式布局,...

275100
来自专栏张戈的专栏

妹子你真萌:一次心惊肉跳的服务器误删文件的恢复过程

刚在我的订阅里面看到这篇文章,在爆笑之余也让跟我一样的运维农民工们发人深省,所以转过来分享一下。妹子啊妹子,网上找的东西也不能直接照搬啊,太萌了~~哈哈! 作者...

675110
来自专栏HBStream流媒体与音视频技术

C++实现RTMP协议发送H.264编码及AAC编码的音视频,摄像头直播

43250
来自专栏DeveWork

Gulp 工作流中Sass 增量编译功能的探索

大约是上一年的这个时候,因为项目合并来到了新的项目组中。虽然协作的同岗位同事也是同一个组的,但使用的Gulp 工作流却有些不一样。第一天做项目需求的时候,就遇到...

30860
来自专栏编程一生

离线数据推送问题(消息队列)

16620
来自专栏SDNLAB

数据中心网络虚拟化 主流平台产品介绍

为了对数据中心网络虚拟化有个初步的认识,本文将对当前比较主流的几款商业平台进行介绍,包括VMware公司的网络虚拟化技术,IBM公司的Dove及开源的OpenD...

40450
来自专栏SDNLAB

全球SDN测试认证中心发布OpenDaylight测试报告

随着软件定义网络(Software Defined Network, SDN)商业部署速度地加快, 关乎整个SDN 网络性能表现的控制平面核心组件——SDN 控...

38460

扫码关注云+社区

领取腾讯云代金券