當(dāng)DDoS遇到云計算

　　拒絕服務(wù)式攻擊這種老式的網(wǎng)絡(luò)犯罪在沉默多時后，又成為了數(shù)據(jù)中心運(yùn)營商新的心頭大患。
　　
　　隨著越來越多的公司使用虛擬化數(shù)據(jù)中心和云服務(wù)，企業(yè)基礎(chǔ)設(shè)施中的新弱點也就暴露了出來。與此同時，拒絕服務(wù)式攻擊正在從數(shù)據(jù)暴力泛濫方式轉(zhuǎn)向更為詭計多端的方式——向應(yīng)用基礎(chǔ)設(shè)施發(fā)起攻擊。
　　
　　對于那些將關(guān)鍵商業(yè)數(shù)據(jù)放在自身設(shè)施之外的企業(yè)，這種組合構(gòu)成的威脅將會越來越大，因為這些企業(yè)的業(yè)務(wù)對不間斷通信的依賴程度很高。此外，隨著多租戶服務(wù)越來越普遍，瞄準(zhǔn)一家公司的攻擊活動可能會對毫不相干，但共同使用同一數(shù)據(jù)中心的其他企業(yè)造成巨大的影響。
　　
　　Frost&Sullivan信息安全研究全球項目主任RobAyoub在一份聲明中指出：“企業(yè)仍然認(rèn)為安全性和可用性是其采用云計算道路上的最大障礙。鑒于企業(yè)有這方面的擔(dān)憂，今天的主機(jī)和其他數(shù)據(jù)中心運(yùn)營商必須具備避免此類攻擊的能力，同時還不能對面向客戶的服務(wù)造成干擾。”
　　
　　這些最明顯的攻擊仍在繼續(xù)源源不斷地向受害者的網(wǎng)絡(luò)發(fā)送數(shù)據(jù)，將企業(yè)與其上游服務(wù)商之間的連接完全淹沒。從域名查詢數(shù)量的增長就可以看出，暴力拒絕服務(wù)式攻擊也在不斷增長，Internet基礎(chǔ)設(shè)施公司VeriSign在其“域名行業(yè)簡報”中對這方面的趨勢做出了重新評估。
　　
　　VeriSign首席技術(shù)官KenSilva說，分布式拒絕服務(wù)攻擊“可能只占我們所有流量中的百分之幾。這對于我們來說是個輕微污染的小問題，但對于受害者來說就是非常嚴(yán)重的大問題。”
　　
　　最好的解決辦法就是順藤摸瓜挖出攻擊者，在目前僵尸網(wǎng)絡(luò)和匿名代理泛濫的情況下，要想做到這一點非常困難。然而，專家認(rèn)為還有其他的辦法。以下便是我們在面對新舊兩代分布式拒絕服務(wù)攻擊（DDoS）時得到的四個教訓(xùn)。
　　
　　DDoS攻擊日益簡單
　　
　　過去，被用于分布式拒絕服務(wù)攻擊的計算機(jī)通常都受到了單個蠕蟲的感染。當(dāng)在足夠多的系統(tǒng)上清除這些蠕蟲后，攻擊者繼續(xù)對網(wǎng)絡(luò)發(fā)動攻擊的能力便告終結(jié)。
　　
　　然而，網(wǎng)絡(luò)保護(hù)服務(wù)商Prolexic公司首席技術(shù)官PaulSop指出，隨著長效僵尸網(wǎng)絡(luò)的不斷出現(xiàn)，以及這些僵尸網(wǎng)絡(luò)被大量出租給攻擊者，犯罪分子可以隨心所欲地向受害者的網(wǎng)絡(luò)發(fā)起洪水般的攻擊。此外，淹沒單個網(wǎng)絡(luò)連接也變得更加容易，尤其是在DdoS攻擊帶寬大幅增長的條件下。
　　
　　Sop說：“攻擊者現(xiàn)在可以非常容易地提高帶寬來向你發(fā)起攻擊，對此很多人還都不了解。”
　　
　　2005年，受害者遭受攻擊時遇到的峰值流量是3.5Gbps。2006年，這一數(shù)字已經(jīng)超過10Gbps，Internet骨干網(wǎng)連接能力在很多情況下成了惟一的限制因素。2009年，ArborNetworks探測到2700多次超過10Gbps的攻擊。
　　
　　具體應(yīng)用成為攻擊目標(biāo)
　　
　　然而，今天針對企業(yè)基礎(chǔ)設(shè)施中資源密集型部分的拒絕服務(wù)攻擊威脅正在與日俱增，其目的就是將這些關(guān)鍵的服務(wù)器和服務(wù)徹底淹沒。攻擊者會使用針對具體應(yīng)用的低帶寬攻擊來攻擊受害者的在線服務(wù)。
　　
　　Prolexic公司的Sop說，例如，濫用加密HTTP請求可能淹沒企業(yè)的服務(wù)器和路由器，或者打開眾多的賬戶創(chuàng)建請求，使多種應(yīng)用掛起，從而形成另外一種攻擊。
　　
　　他說：“過去，這些家伙擊倒受害者時使用的是泰森式的重拳，但現(xiàn)在，很多攻擊者只需要在關(guān)鍵部位打擊網(wǎng)站就可以輕松將其打倒。真正的攻擊者會向應(yīng)用本身發(fā)起攻擊。”
　　
　　了解同一數(shù)據(jù)中心的情況
　　
　　在云中，企業(yè)要擔(dān)心的不僅是其資源受到的攻擊，還要擔(dān)心同處一地的其他租戶所受的攻擊。如果一家企業(yè)與其他用戶分享服務(wù)，當(dāng)然就必須確保所用的設(shè)施具備了充足的保護(hù)。物理服務(wù)器可以容納多個客戶的虛擬機(jī)，而且服務(wù)商在確保虛擬機(jī)之間的安全空間，以及處理受監(jiān)管行業(yè)法規(guī)一致性問題時會采取不同的方法。
　　
　　Sop說：“這些服務(wù)商要通過共享式平臺為許多客戶提供主機(jī)服務(wù)。”
　　
　　雖然企業(yè)不太可能知道自己的“虛擬”鄰居是誰，但必須首先要核實數(shù)據(jù)中心服務(wù)商的防御能力。另外，還要了解自己需要在安全方面承擔(dān)哪些責(zé)任，而不是將所有的責(zé)任都推到服務(wù)商的身上，這一點至關(guān)重要。
　　
　　讓云來幫助云
　　
　　Silva說，雖然向云計算的移植過程在商業(yè)基礎(chǔ)設(shè)施中暴露出許多弱點，提高了企業(yè)對Internet連接的依賴程度，但云計算迅速供應(yīng)資源并在關(guān)鍵領(lǐng)域收集專業(yè)知識的能力將有助于有效規(guī)避這一威脅。
　　
　　他說：“您或許擁有世界上最好的數(shù)據(jù)中心，但只能為它提供與數(shù)據(jù)中心需求相適應(yīng)的帶寬。”
　　
　　他說，相反的，企業(yè)應(yīng)當(dāng)與帶寬即服務(wù)供應(yīng)商建立聯(lián)系，無論它是Akamai之類的內(nèi)容發(fā)布網(wǎng)絡(luò)，還是VeriSign這樣的純基礎(chǔ)設(shè)施服務(wù)商都行。
　　
　　Silva說：“我認(rèn)為這些首席信息官獲得的教訓(xùn)是，真正能夠避免拒絕服務(wù)攻擊的正確方法在云中，包括您自己創(chuàng)建的云和花錢購買的云。”
　　
　　Prolexic公司的Sop說，每家數(shù)據(jù)中心運(yùn)營商應(yīng)當(dāng)吸取的教訓(xùn)是，如果攻擊到達(dá)了您與Internet之間的網(wǎng)絡(luò)連接，那就已經(jīng)為時太晚了。Sop表示：“受害者面臨的最糟糕的事情就是，在自家的門口與敵人作戰(zhàn)。”
　　
　　表格：DDoS遇到云計算的四個教訓(xùn)：
　　
　　發(fā)動DDoS攻擊日益簡單化：隨著長效僵尸網(wǎng)絡(luò)的不斷出現(xiàn)，以及這些僵尸網(wǎng)絡(luò)被大量出租給攻擊者，犯罪分子可以隨心所欲地向受害者的網(wǎng)絡(luò)發(fā)起洪水般的攻擊。
　　
　　具體應(yīng)用成為攻擊目標(biāo)：攻擊者會使用針對具體應(yīng)用的低帶寬攻擊來攻擊受害者的在線服務(wù)。例如，濫用加密HTTP請求可能淹沒企業(yè)的服務(wù)器和路由器等。
　　
　　了解同一數(shù)據(jù)中心的情況：雖然企業(yè)不太可能知道自己的鄰居是誰，但首先核實數(shù)據(jù)中心服務(wù)商的防御能力。另外，還要了解您自己需要在安全方面承擔(dān)哪些責(zé)任，而不是將所有的責(zé)任都推到服務(wù)商的身上，這一點至關(guān)重要。
　　
　　讓云來幫助云：云計算迅速供應(yīng)資源并在關(guān)鍵領(lǐng)域收集專業(yè)知識的能力將有助于有效規(guī)避數(shù)據(jù)中心在向云遷移中遇到的威脅。
　　

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]