数据中心SDN部署容易遭受的攻击

大多SDN系统部署在数据中心，数据中心将经常使用数据中心互联(Data Center Interconnect,DCI)协议。例如：使用GRE网络虚拟化(Network Virtualization using GRE,NVGRE)、无状态传输通道(Stateless Transport Tunneling,STT)、虚拟可扩展LAN(Virtual Extensible LAN,VXLAN)、虚拟化思科覆盖传输(Overlay Transport Virtualization,OTV)、L2MP、TRILL-based、SPB等等。这些协议可能缺乏加密和认证机制，以确保数据包内容在传输过程中的安全。这些新协议在设计开始或满足供应商或客户需求时不可避免地存在漏洞。攻击者可能会创建一个具有欺骗性的数据流DCI在连接中传输，或针对DCI连接发起一个拒绝服务攻击。

攻击控制层

SDN控制器是一个明显的攻击目标。攻击者可能会为不同的目的而战SDN控制器作为攻击目标。攻击者可能会向控制器发送伪装的南/北接口对话信息。如果控制器回复攻击者发送的南/北接口对话信息，攻击者就有能力绕过控制器部署的安全策略。

攻击者可能会启动控制器DoS或以其他方式消耗攻击资源，使控制器处理Packet In消息变得很慢。甚至可能导致整个网络崩溃。

SDN控制器通常在图像中运行Linux这样的操作系统。如果控制器在一般操作系统上运行，操作系统中的漏洞将成为控制器的安全漏洞。控制器的启动和工作通常使用默认密码，没有任何其他安全配置。SDN工程师通常很小心的工作，在生产配置过程中都不愿碰这些控制器，因为害怕搞坏如此脆弱的系统。

最糟糕的情况是:攻击者部署自己的控制器，欺骗那些OF交换机，让它们误以为攻击者控制的伪装控制器为主控制器。然后，攻击者可以去OF流表项在交换机流表中下发。SDN工程师部署的控制器无权访问这些数据流。在这种情况下，攻击者拥有网络控制的最高权限。