In software defined networks (SDNs), data plane and control plane on the conventional network devices are separated and packet forwarding decisions are taken by the controller in charge of the entire network. The necessity of managing all the network operations not only facilitates control for the controller but also causes some security vulnerabilities and new attack surfaces in SDNs. In this study, Link Layer Discovery Protocol (LLDP), which forms the basis of OpenFlow Discovery Protocol (OFDP) for topology discovery in SDNs, is exploited to poison the topology by adding fabricated links to the controller. Fake LLDP Injection and LLDP replay techniques are used to create fake links on the controller and network access status of end devices are evaluated during attacks. Our findings demonstrate that the Floodlight controller is vulnerable to attacks based on LLDP exploitation and it is possible to create fake links on the controller. Due to the fake links, it is determined that invalid routes are created on controller and despite having other active links, end devices subject to invalid routes lost their access to network. Thus, attacks on the data link layer affect the performance of the network negatively.
Software Defined Network Link Layer Discovery Protocol LLDP OpenFlow Floodlight Cyber Security.
Yazılım tanımlı ağlar, geleneksel ağ mimarilerindeki ağ cihazları üzerinde bulunan veri düzlemi ve kontrol düzleminin ayrıldığı ve ağın tamamına hâkim merkezi kontrolcüler tarafından paket iletim kararlarının alındığı bir ağ teknolojisidir. Kontrolcünün ağın bütün işleyişini yönetme zorunluluğu kontrol kolaylığı sağladığı gibi güvenlik açıklıkları da yaratabilmektedir. Bu çalışmada, ele geçirilen uç cihazlar üzerinden kontrolcünün yazılım tanımlı ağ topolojisini keşfetmede kullandığı OpenFlow Keşif Protokolünün (OFDP – OpenFlow Discovery Protocol) temelini oluşturan bağlantı katmanı keşif protokolünün (LLDP- Link Layer Discovery Protocol) kötüye kullanımı vasıtasıyla LLDP Enjeksiyonu ve LLDP yeniden gönderim saldırıları gerçekleştirilmiş, saldırı sonrasında kontrolcü üzerinde tutulan topoloji ve ağdaki uç cihazların bağlantı durumları tespit edilmiştir. Yapılan saldırı testleri sonucunda Floodlight kontrolcünün LLDP istismarını temel alan saldırılara karşı savunmasız olduğu ve kontrolcü üzerinde sahte bağlantı kayıtları oluşturulmasının mümkün olduğu görülmüştür. Ayrıca, kontrolcünün saldırı neticesinde kayıtlanmış sahte linkleri dikkate alarak geçersiz rotalar hesapladığı, bu rotaları kullanması ön görülen uç cihazların erişiminin kesildiği ve ağın genel başarımında azalma olduğu gözlemlenmiştir.
Siber GÜvenlik Yazılım Tanımlı Ağ Bağlantı Katmanı Keşif Protokolü LLDP OpenFlow Floodlight
Birincil Dil | Türkçe |
---|---|
Konular | Bilgisayar Yazılımı |
Bölüm | Araştırma Makaleleri |
Yazarlar | |
Yayımlanma Tarihi | 31 Ağustos 2021 |
Gönderilme Tarihi | 15 Mayıs 2020 |
Kabul Tarihi | 24 Mayıs 2021 |
Yayımlandığı Sayı | Yıl 2021 Cilt: 26 Sayı: 2 |
DUYURU:
30.03.2021- Nisan 2021 (26/1) sayımızdan itibaren TR-Dizin yeni kuralları gereği, dergimizde basılacak makalelerde, ilk gönderim aşamasında Telif Hakkı Formu yanısıra, Çıkar Çatışması Bildirim Formu ve Yazar Katkısı Bildirim Formu da tüm yazarlarca imzalanarak gönderilmelidir. Yayınlanacak makalelerde de makale metni içinde "Çıkar Çatışması" ve "Yazar Katkısı" bölümleri yer alacaktır. İlk gönderim aşamasında doldurulması gereken yeni formlara "Yazım Kuralları" ve "Makale Gönderim Süreci" sayfalarımızdan ulaşılabilir. (Değerlendirme süreci bu tarihten önce tamamlanıp basımı bekleyen makalelerin yanısıra değerlendirme süreci devam eden makaleler için, yazarlar tarafından ilgili formlar doldurularak sisteme yüklenmelidir). Makale şablonları da, bu değişiklik doğrultusunda güncellenmiştir. Tüm yazarlarımıza önemle duyurulur.
Bursa Uludağ Üniversitesi, Mühendislik Fakültesi Dekanlığı, Görükle Kampüsü, Nilüfer, 16059 Bursa. Tel: (224) 294 1907, Faks: (224) 294 1903, e-posta: mmfd@uludag.edu.tr