軟件定義交換機似乎給網絡運營商提供了許多功能，但在拉斯維加斯Black Hat 2015全球頂尖安全會議上，一篇名為《STAYING PERSISTENT IN SOFTWARE DEFINED NETWORKS》的演講稿中的最新研究表明其安全措施并不到位。芝加哥安全公司Hellfire Security的創始人Gregory Pickett針對使用ONIE(Open Network Install Environment)的網絡交換機自主開發了一些攻擊軟件。

[[147199]]

ONIE是基于Linux的小型操作系統，運行在白盒交換機上，解除交換機軟硬件綁定的黑盒狀態，形成硬件標準化、軟硬件分離的新模式。網絡操作系統安裝在ONIE之上，便于快速交換操作系統。

Pickett主要研究運行在ONIE上的三個網絡操作系統:Switch Light, Cumulus Linux和Mellanox OS。他發現了很多問題，有時候能夠在ONIE固件上安裝持久性的惡意軟件。這是相當危險的，惡意軟件能夠全面了解所有運行在交換機上的數據流，網絡中數據流的走向被大范圍得監視，甚至可能造成網絡的全面癱瘓。

Pickett開發的惡意軟件稱之為“Big Brother”。它只需要安裝到目標公司網絡中的一臺用戶主機上，然后就能搜尋到交換機并且在上面安裝惡意軟件，接著就可以向命令控制型服務器推送數據。Pickett還認為將可能開發一個蠕蟲病毒來感染目標網絡的所有交換機。

SDN畢竟屬于相對較新的領域，安全舉措還沒有做好。網絡操作系統以及ONIE往往缺乏身份驗證、加密、訪問控制和權限這些功能。　　　　

如果說ONIE易受攻擊，那么網絡操作系統需要去保護它。但是，如果攻擊者可以闖過操作系統，ONIE就只能等著被侵襲了。

Pickett表示SDN的形勢似乎是一個雞生蛋還是蛋生雞的問題:對于是SDN平臺還是網絡操作系統需要負責阻止惡意攻擊的問題似乎并沒有過多地關注。如果這兩方都在期待另一方收拾殘局的話，真是太糟糕了，他們認為自己是安全的，因為這些Linux交換機位于防火墻之后。

Pickett已經通知Switch Light、Cumulus Linux、Mellanox OS和ONIE目前發現的問題，希望他們能夠修復漏洞。他不打算把發現的瞬時攻擊在周四的Black Hat和周六的Def Con會議上發布，但他將在會上發布開發惡意軟件的代碼。他還將描述SDN平臺的改進列表以及網絡操作系統的補救措施。