轉(zhuǎn)發(fā)與控制分離引入的安全威脅,從網(wǎng)絡(luò)安全的角度看，軟件定義網(wǎng)絡(luò)將網(wǎng)絡(luò)設(shè)備控制面與數(shù)據(jù)面分離，在實(shí)現(xiàn)網(wǎng)絡(luò)流量靈活控制的同時(shí)，也引入了新的安全威脅和挑戰(zhàn)。

根據(jù)SDN交換機(jī)對數(shù)據(jù)包的處理流程，當(dāng)數(shù)據(jù)包不能匹配所有流表中的所有流表項(xiàng)時(shí)，交換機(jī)將包通過與控制器間的安全通道轉(zhuǎn)發(fā)給控制器處理。在控制面，新引入的SDN控制器由于邏輯集中的特點(diǎn)，容易成為攻擊的對象，脆弱的SDN控制器面臨的具體安全風(fēng)險(xiǎn)如下：

（1）拒絕服務(wù)攻擊。攻擊者通過攻擊交換機(jī)，修改交換機(jī)流表中各表項(xiàng)的actions字符項(xiàng)，使交換機(jī)將所有數(shù)據(jù)包轉(zhuǎn)發(fā)給控制器，從而導(dǎo)致控制器需要處理大量的消息。或者攻擊者偽造大量在交換機(jī)流表中并不存在或無法處理的數(shù)據(jù)報(bào)文，由交換機(jī)提交偽造報(bào)文給控制器處理，從而占用控制器資源，造成拒絕服務(wù)攻擊。

（2）繞過安全機(jī)制。由于安全設(shè)備與被保護(hù)的節(jié)點(diǎn)/網(wǎng)絡(luò)之間不再是物理連接，而是可通過流的重定向機(jī)制使流繞過安全策略所要求的安全機(jī)制，造成安全機(jī)制失效。

（3）非安全的控制通道容易受到中間人的攻擊，一旦控制器被攻擊者劫持，不同于傳統(tǒng)網(wǎng)絡(luò)需要控制大規(guī)模僵尸節(jié)點(diǎn)，只通過SDN控制器就可以改變流轉(zhuǎn)發(fā)路徑，可將大量的數(shù)據(jù)流發(fā)往其他被攻擊的業(yè)務(wù)節(jié)點(diǎn)，破壞業(yè)務(wù)可用性，造成網(wǎng)絡(luò)服務(wù)的大面積癱瘓。

針對控制器的拒絕服務(wù)攻擊的主要防護(hù)機(jī)制是采用流量控制和多控制器兩種思路。流量控制提供主動遏制手段。例如，通過限制控制器的訪問頻度，避免控制器在短時(shí)間內(nèi)處理大量頻繁事件（如未知流規(guī)則請求等）。多控制器結(jié)構(gòu)中，可采用應(yīng)用層負(fù)載均衡提供控制器在DDoS攻擊下的生存性。在協(xié)議方面，OpenFlow協(xié)議1.2版已經(jīng)增加了對多控制器的支持，可為不同控制器設(shè)定不同角色，但協(xié)議并未規(guī)定交換機(jī)的控制權(quán)如何在控制器之間切換，參考文獻(xiàn)中設(shè)計(jì)了不同角色的控制器在交換機(jī)之間的切換方式，實(shí)現(xiàn)了一種負(fù)載均衡的彈性控制面。

數(shù)據(jù)面的主要攻擊對象是數(shù)據(jù)平面的關(guān)鍵節(jié)點(diǎn)——SDN交換機(jī)。除面臨傳統(tǒng)網(wǎng)絡(luò)中的消耗交換機(jī)資源實(shí)施拒絕服務(wù)攻擊、非法接入等攻擊外，由于SDN交換機(jī)與控制層更多的交互，攻擊者通過部署非法應(yīng)用、入侵控制器等實(shí)現(xiàn)對交換機(jī)流表的非法操作，完成以下對用戶數(shù)據(jù)流的攻擊。

（1）改變流轉(zhuǎn)發(fā)路徑，非法復(fù)制數(shù)據(jù)包并通過另外的路徑轉(zhuǎn)發(fā)給攻擊者用以竊取信息或?qū)嵤┲虚g人攻擊。

（2）修改對數(shù)據(jù)包的操作動作，改變交換機(jī)在轉(zhuǎn)發(fā)流時(shí)對數(shù)據(jù)包的操作動作。例如，丟棄數(shù)據(jù)包實(shí)施拒絕服務(wù)攻擊。

（3）設(shè)定非法的轉(zhuǎn)發(fā)路徑，從而占用某用戶的轉(zhuǎn)發(fā)端口等網(wǎng)絡(luò)資源或通過注入精心設(shè)計(jì)的數(shù)據(jù)包進(jìn)行會話劫持攻擊。

應(yīng)對SDN交換機(jī)的拒絕服務(wù)攻擊通常使用的方法就是采用流控、時(shí)間過濾、擁塞丟包和超時(shí)調(diào)整，并且在交換機(jī)上實(shí)施攻擊監(jiān)測。流控能夠讓交換機(jī)在DDoS攻擊過程中保持響應(yīng)，事件過濾能讓控制器選擇處理時(shí)間，提供系統(tǒng)恢復(fù)能力，擁塞丟包能夠丟掉異常的數(shù)據(jù)包，并在無法隔離攻擊者的時(shí)候通過QoS機(jī)制共同發(fā)揮作用，超時(shí)調(diào)整機(jī)制可以減輕DDoS攻擊的危害。

參考文獻(xiàn)把檢測算法分別部署在不同交換機(jī)上，創(chuàng)新性地提出了在SDN網(wǎng)絡(luò)中針對數(shù)據(jù)平面隱蔽DDoS攻擊的方法和檢測方法，但算法的實(shí)現(xiàn)和升級特別復(fù)雜。

SDN網(wǎng)絡(luò)的另一個(gè)重要特征就是將封閉的網(wǎng)絡(luò)能力進(jìn)行抽象，并通過接口進(jìn)行開放。控制器北向接口可將SDN網(wǎng)絡(luò)中底層資源由控制器呈現(xiàn)給應(yīng)用層開發(fā)者。不安全的接口可能使整個(gè)網(wǎng)絡(luò)的安全受到威脅，例如：

（1）網(wǎng)絡(luò)行為被修改。如果惡意攻擊者通過注入等手段，使某應(yīng)用發(fā)送的請求參數(shù)與業(yè)務(wù)邏輯期望不符，可使該應(yīng)用的網(wǎng)絡(luò)行為被篡改，從而下發(fā)惡意指令。

（2）網(wǎng)絡(luò)通信被非法監(jiān)聽。如果接口是未加密的，攻擊者就能監(jiān)聽整個(gè)調(diào)用過程，從而使敏感信息（如用戶信息、調(diào)用token等）被竊取。

（3）截獲并修改數(shù)據(jù)包。攻擊者可以采用中間人攻擊，重放或修改后重發(fā)請求，達(dá)到偽造請求的目的。

（4）引發(fā)DDoS攻擊。如果應(yīng)用接口沒有檢查機(jī)制，容易被攻擊者反復(fù)調(diào)用，向網(wǎng)絡(luò)設(shè)備下發(fā)大量無用的流表，影響數(shù)據(jù)面效率；或?qū)⒋罅苛鞅硪叫阅茌^弱的節(jié)點(diǎn)，造成該節(jié)點(diǎn)拒絕服務(wù)。

因此，接口的安全設(shè)計(jì)非常重要，它保證了接口數(shù)據(jù)交互的完整性、機(jī)密性，保證接口的可用性，具有權(quán)限管理機(jī)制，以保證底層資源被合理調(diào)用，無越權(quán)操作。

對SDN網(wǎng)絡(luò)運(yùn)營者來說，在其具有更強(qiáng)管控能力的控制層采用必要機(jī)制應(yīng)對應(yīng)用層和開放接口引入的安全風(fēng)險(xiǎn)是可行的方案，如采用細(xì)粒度API訪問權(quán)限控制策略，控制層針對每一個(gè)應(yīng)用賦予滿足其功能要求的最低限度API訪問權(quán)限，并對通過API接口下發(fā)的應(yīng)用層策略進(jìn)行規(guī)則檢查，檢測下發(fā)的規(guī)則是否符合安全策略、業(yè)務(wù)邏輯及行為特征等的要求。參考文獻(xiàn)在控制器上擴(kuò)展出對應(yīng)用程序的角色認(rèn)證、規(guī)則沖突檢測和安全規(guī)則轉(zhuǎn)換等功能，構(gòu)建了一個(gè)強(qiáng)制安全的控制器內(nèi)核。