SDN曝安全漏洞 利用流表展开KYE攻击

发布时间： 2016-09-13

---

软件定义网络（SDN）控制器通过向交换机中添加新的流规则来响应网络状况，而意大利的研究人员表示将会造成意想不到的安全问题。

该研究人员表示SDN环境可能造成系统管理员不希望公之于众的信息泄露，包括网络虚拟化设置、服务质量（QoS）策略，更重要的是将泄露安全工具的配置信息，如网络扫描攻击检测阈值。

他们表示即便是一个单独的交换机的流表，也能泄露这类信息，并且将会作为一个侧信道被攻击者所利用

来自帕多瓦大学（University of Padova）的Mauro Conti、Sapienza大学的Fabio De Gaspari、Luigi Mancini组成的科研小组，特别关注SDN被攻击者利用创建目标网络的配置文件，这是他们所强调的Know Your Enemy (KYE)攻击

例如，他们认为攻击者将采取如下攻击行为：

☘   连接到大部分SDN交换机都有的被动侦听端口，包括用于远程调试、检索流表的端口（他们以HP Procurve的dpctl工具为例）；

☘   从抖动（jitter）中推断一些流表信息；

☘   抓取控制流（不使用TLS或不通过证书进行验证）

☘   利用交换机操作系统可能存在的漏洞，如系统后门；

☘   将流表或存储器内容复制到交换机之外。

☘   利用交换机操作系统可能存在的漏洞，如系统后门；

文章指出，这些都不是针对特定的设备：“KYE攻击利用的是SDN结构的弱点，攻击的是按需管理网络流量的设备，这又是SDN的主要特点和优势。”

由于SDN的设计旨在通过向交换机中添加流规则来响应网络，攻击者很容易找出控制器向交换机添加规则的方式。

因此，KYE攻击只需要探测出环境（发现交换机上可供他们访问的流规则，无论是内部的或是远程的）；并使用推理阶段的信息来制定符合特定规则的策略。

他们提供的解决方案是SDN架构师需要在他们的网络中混合一些其他流，以避免攻击者利用SDN响应获得相关的网络信息。“如果有可能阻止攻击者了解流量对应的流规则，KYE攻击将从源头上解决。”

这看起来似乎并不是很困难：文中给出的一个例子是控制器围绕网络路径，而不是直接连接到交换机，这使得网络更加难以被攻击。