軟件定義網絡（SDN）控制器通過向交換機中添加新的流規則來響應網絡狀況，而意大利的研究人員表示將會造成意想不到的安全問題。

該研究人員表示SDN環境可能造成系統管理員不希望公之于眾的信息泄露，包括網絡虛擬化設置、服務質量（QoS）策略，更重要的是將泄露安全工具的配置信息，如網絡掃描攻擊檢測閾值。

他們表示即便是一個單獨的交換機的流表，也能泄露這類信息，并且將會作為一個側信道被攻擊者所利用。

來自帕多瓦大學（University of Padova）的Mauro Conti、Sapienza大學的Fabio De Gaspari、Luigi Mancini組成的科研小組，特別關注SDN被攻擊者利用創建目標網絡的配置文件，這是他們所強調的Know Your Enemy (KYE)攻擊。

例如，他們認為攻擊者將采取如下攻擊行為：

連接到大部分SDN交換機都有的被動偵聽端口，包括用于遠程調試、檢索流表的端口（他們以HP Procurve的dpctl工具為例）；從抖動（jitter）中推斷一些流表信息；抓取控制流（不使用TLS或不通過證書進行驗證）利用交換機操作系統可能存在的漏洞，如系統后門；將流表或存儲器內容復制到交換機之外。

文章指出，這些都不是針對特定的設備：“KYE攻擊利用的是SDN結構的弱點，攻擊的是按需管理網絡流量的設備，這又是SDN的主要特點和優勢。”

由于SDN的設計旨在通過向交換機中添加流規則來響應網絡，攻擊者很容易找出控制器向交換機添加規則的方式。

因此，KYE攻擊只需要探測出環境（發現交換機上可供他們訪問的流規則，無論是內部的或是遠程的）；并使用推理階段的信息來制定符合特定規則的策略。

他們提供的解決方案是SDN架構師需要在他們的網絡中混合一些其他流，以避免攻擊者利用SDN響應獲得相關的網絡信息。“如果有可能阻止攻擊者了解流量對應的流規則，KYE攻擊將從源頭上解決。”

這看起來似乎并不是很困難：文中給出的一個例子是控制器圍繞網絡路徑，而不是直接連接到交換機，這使得網絡更加難以被攻擊。

原文鏈接：http://www.theregister.co.uk/2016/08/23/sdnsnormalbehaviourissniffablesayresearchers/