解决访问电商平台网络慢等问题,轻松实现高速访问Amazon、eBay等电商平台
提升在线教育音/视频网络质量,画面无卡顿,网络智能选路,就近接入,避开阻塞点
可以根据公司的业务发展规模,随时扩容网络带宽或分支网点,解决传统运营商扩容周期长的问题
可视化管理,根据关键应用优先性智能选择传输路径, 自动切换,就近接入,避开阻塞点
提供高速通道和冗余线路,保障网络稳定快速,有效地解决医疗系统访问延时高、卡顿等问题,提高员工办公效率
部署简单,灵活接入,零配置上线,设备即插即用,快速开通分支门店
硬件高防和云防护双重防护,秒级抵御网络攻击,安全防护体系覆盖网络-应用-业务
物理线路直达海外,有效解决因网络延时高造成游戏卡顿、掉线等体验问题
为政府、企事业单位提供高效、合规、安全的加速解决方案,提高服务响应速度和处理效率
大多数SDN体系架构有三层:最底层是支持SDN功能的网络基础设施,中间层是具有网络核心控制权的SDN控制器,最上层包括SDN配置管理的应用程序和服务。尽管许多SDN架构相对较新,并且SDN仍处于早期探索的领域。但我们可以肯定,随着SDN技术的发展和更广泛地使用,它仍会成为攻击者的目标。
我们可以预见几种针对SDN架构的攻击方法。SDN架构较为常见网络安全问题包括对SDN架构中各层的攻击。
一、数据层的攻击
攻击者可能将来自网络本身的某个节点(例如,OF交换机,接入SDN交换机的主机)作为攻击目标。从理论上说,攻击者可以先获得未经网络访问的权限,然后尝试进行攻击运行状态不稳定的网络节点。这可能是一个拒绝服务攻击(Denial of Service , DoS),或者是对交换机等网络基础设施进行的Fuzzing攻击。
有许多南向接口协议用于控制器与数据层的交换机进行通信。这些SDN南向接口协议可以采用OpenFlow、Open vSwitch交换机配置管理协议(Open vSwitch Database Management Protocol, OVSDB)、路径计算单元的通信协议(Path Computation Element Communication Protocol,PCEP)、路由系统接口协议(Interface to the Routing System ,I2RS)、BGP-LS、OpenStack Neutron、开放管理基础设施(Open Management Infrastructure,OMI)、Puppet、 Chef、Diameter、Radius、NETCONF、可扩展通讯和表示协议(Extensible Messaging and Presence Protocol,XMPP)、名址分离网络协议(Locator/ID Separation Protocol, LISP)、简单网络管理协议(Simple Network Management Protocol,SNMP)、CLI、嵌入式事件管理器(Embedded Event Manager, EEM)、Cisco onePK、ACI,Opflex等等。每个协议虽然都有自己的安全通信机制。但因为这些协议都非常新,所以并没有能够实现综合安全部署的方法。
交换机与控制器之间的链路常常会成为DDoS攻击目标[6],攻击者也可以利用这些协议的特性在OF交换机中添加新的流表项,。之所以这么做,是因为攻击者试图将这些特定服务类型的数据流进行欺骗“拦截”,不允许其在网络中传输。攻击者有可能引入一个新的数据流,并且指导引入的数据流绕过防火墙,从而使攻击者取得数据流走向的控制权。攻击者也有可能利用这些能力来进行网络嗅探,甚至可能引发中间人攻击。
攻击者可以通过在网络中嗅探得知哪些数据流正在流动,哪些数据流被允许在网络中传输。攻击者可以对OF交换机与控制器之间的南向接口通信进行嗅探,嗅探所获得的信息可用于再次发起攻击或进行简单的网络扫描探测。
二、应用层的攻击
攻击北向接口协议的行为也可以看做是一种攻击的方法。这些北向接口都由控制器管理。这些北向接口可以通过Python、Java、C、REST、XML、JSON等方式进行数据封装。如果攻击者利用了这些公开且没有任何认证机制的北向接口,那么攻击者就可以通过控制器来控制SDN网络的通信,并且可以制定自己的“业务策略”。
在现有几个较为著名的SDN开源项目中,他们将自己的北向接口通过REST API的形式向外暴露,并且这些北向接口所提供认证机制的较为少数。如果一个SDN系统部署时没有改善这种情况。那么攻击者就可以查询部署系统的配置,并且部署自己的网络设置。