軟件定義網(wǎng)絡(luò)（SDN）控制器通過向交換機中添加新的流規(guī)則來響應網(wǎng)絡(luò)狀況，而意大利的研究人員表示將會造成意想不到的安全問題。

該研究人員表示SDN環(huán)境可能造成系統(tǒng)管理員不希望公之于眾的信息泄露，包括網(wǎng)絡(luò)虛擬化設(shè)置、服務(wù)質(zhì)量（QoS）策略，更重要的是將泄露安全工具的配置信息，如網(wǎng)絡(luò)掃描攻擊檢測閾值。

他們表示即便是一個單獨的交換機的流表，也能泄露這類信息，并且將會作為一個側(cè)信道被攻擊者所利用。

來自帕多瓦大學（University of Padova）的Mauro Conti、Sapienza大學的Fabio De Gaspari、Luigi Mancini組成的科研小組，特別關(guān)注SDN被攻擊者利用創(chuàng)建目標網(wǎng)絡(luò)的配置文件，這是他們所強調(diào)的Know Your Enemy (KYE)攻擊。

例如，他們認為攻擊者將采取如下攻擊行為：

文章指出，這些都不是針對特定的設(shè)備：“KYE攻擊利用的是SDN結(jié)構(gòu)的弱點，攻擊的是按需管理網(wǎng)絡(luò)流量的設(shè)備，這又是SDN的主要特點和優(yōu)勢。”

由于SDN的設(shè)計旨在通過向交換機中添加流規(guī)則來響應網(wǎng)絡(luò)，攻擊者很容易找出控制器向交換機添加規(guī)則的方式。

因此，KYE攻擊只需要探測出環(huán)境（發(fā)現(xiàn)交換機上可供他們訪問的流規(guī)則，無論是內(nèi)部的或是遠程的）；并使用推理階段的信息來制定符合特定規(guī)則的策略。

他們提供的解決方案是SDN架構(gòu)師需要在他們的網(wǎng)絡(luò)中混合一些其他流，以避免攻擊者利用SDN響應獲得相關(guān)的網(wǎng)絡(luò)信息。“如果有可能阻止攻擊者了解流量對應的流規(guī)則，KYE攻擊將從源頭上解決。”

這看起來似乎并不是很困難：文中給出的一個例子是控制器圍繞網(wǎng)絡(luò)路徑，而不是直接連接到交換機，這使得網(wǎng)絡(luò)更加難以被攻擊。

原文鏈接：http://www.theregister.co.uk/2016/08/23/sdnsnormalbehaviourissniffablesayresearchers/