SDN网络面临的安全问题

大多数SDN体系架构有三层：最底层是支持SDN功能的网络基础设施，中间层是具有网络核心控制权的SDN控制器，最上层包括SDN配置管理的应用程序和服务。尽管许多SDN架构相对较新，并且SDN仍处于早期探索的领域。但我们可以肯定，随着SDN技术的发展和更广泛地使用，它仍会成为攻击者的目标。

我们可以预见几种针对SDN架构的攻击方法。SDN架构较为常见网络安全问题包括对SDN架构中各层的攻击。

一、数据层的攻击

攻击者可能将来自网络本身的某个节点(例如，OF交换机，接入SDN交换机的主机)作为攻击目标。从理论上说，攻击者可以先获得未经网络访问的权限，然后尝试进行攻击运行状态不稳定的网络节点。这可能是一个拒绝服务攻击(Denial of Service ， DoS)，或者是对交换机等网络基础设施进行的Fuzzing攻击。

有许多南向接口协议用于控制器与数据层的交换机进行通信。这些SDN南向接口协议可以采用OpenFlow、Open vSwitch交换机配置管理协议(Open vSwitch Database Management Protocol， OVSDB)、路径计算单元的通信协议(Path Computation Element Communication Protocol，PCEP)、路由系统接口协议(Interface to the Routing System ，I2RS)、BGP-LS、OpenStack Neutron、开放管理基础设施(Open Management Infrastructure，OMI)、Puppet、 Chef、Diameter、Radius、NETCONF、可扩展通讯和表示协议(Extensible Messaging and Presence Protocol，XMPP)、名址分离网络协议(Locator/ID Separation Protocol， LISP)、简单网络管理协议(Simple Network Management Protocol，SNMP)、CLI、嵌入式事件管理器(Embedded Event Manager， EEM)、Cisco onePK、ACI，Opflex等等。每个协议虽然都有自己的安全通信机制。但因为这些协议都非常新，所以并没有能够实现综合安全部署的方法。

交换机与控制器之间的链路常常会成为DDoS攻击目标[6]，攻击者也可以利用这些协议的特性在OF交换机中添加新的流表项，。之所以这么做，是因为攻击者试图将这些特定服务类型的数据流进行欺骗“拦截”，不允许其在网络中传输。攻击者有可能引入一个新的数据流，并且指导引入的数据流绕过防火墙，从而使攻击者取得数据流走向的控制权。攻击者也有可能利用这些能力来进行网络嗅探，甚至可能引发中间人攻击。

攻击者可以通过在网络中嗅探得知哪些数据流正在流动，哪些数据流被允许在网络中传输。攻击者可以对OF交换机与控制器之间的南向接口通信进行嗅探，嗅探所获得的信息可用于再次发起攻击或进行简单的网络扫描探测。

二、应用层的攻击

攻击北向接口协议的行为也可以看做是一种攻击的方法。这些北向接口都由控制器管理。这些北向接口可以通过Python、Java、C、REST、XML、JSON等方式进行数据封装。如果攻击者利用了这些公开且没有任何认证机制的北向接口，那么攻击者就可以通过控制器来控制SDN网络的通信，并且可以制定自己的“业务策略”。

在现有几个较为著名的SDN开源项目中，他们将自己的北向接口通过REST API的形式向外暴露，并且这些北向接口所提供认证机制的较为少数。如果一个SDN系统部署时没有改善这种情况。那么攻击者就可以查询部署系统的配置，并且部署自己的网络设置。