當(dāng)DDoS遇到云計(jì)算

拒絕服務(wù)式攻擊這種老式的網(wǎng)絡(luò)犯罪在沉默多時(shí)后，又成為了數(shù)據(jù)中心運(yùn)營(yíng)商新的心頭大患。

隨著越來(lái)越多的公司使用虛擬化數(shù)據(jù)中心和云服務(wù)，企業(yè)基礎(chǔ)設(shè)施中的新弱點(diǎn)也就暴露了出來(lái)。與此同時(shí)，拒絕服務(wù)式攻擊正在從數(shù)據(jù)暴力泛濫方式轉(zhuǎn)向更為詭計(jì)多端的方式——向應(yīng)用基礎(chǔ)設(shè)施發(fā)起攻擊。

對(duì)于那些將關(guān)鍵商業(yè)數(shù)據(jù)放在自身設(shè)施之外的企業(yè)，這種組合構(gòu)成的威脅將會(huì)越來(lái)越大，因?yàn)檫@些企業(yè)的業(yè)務(wù)對(duì)不間斷通信的依賴程度很高。此外，隨著多租戶服務(wù)越來(lái)越普遍，瞄準(zhǔn)一家公司的攻擊活動(dòng)可能會(huì)對(duì)毫不相干，但共同使用同一數(shù)據(jù)中心的其他企業(yè)造成巨大的影響。

Frost & Sullivan信息安全研究全球項(xiàng)目主任Rob Ayoub在一份聲明中指出：“企業(yè)仍然認(rèn)為安全性和可用性是其采用云計(jì)算道路上的最大障礙。鑒于企業(yè)有這方面的擔(dān)憂，今天的主機(jī)和其他數(shù)據(jù)中心運(yùn)營(yíng)商必須具備避免此類攻擊的能力，同時(shí)還不能對(duì)面向客戶的服務(wù)造成干擾。”

這些最明顯的攻擊仍在繼續(xù)源源不斷地向受害者的網(wǎng)絡(luò)發(fā)送數(shù)據(jù)，將企業(yè)與其上游服務(wù)商之間的連接完全淹沒(méi)。從域名查詢數(shù)量的增長(zhǎng)就可以看出，暴力拒絕服務(wù)式攻擊也在不斷增長(zhǎng)，Internet基礎(chǔ)設(shè)施公司VeriSign在其“域名行業(yè)簡(jiǎn)報(bào)”中對(duì)這方面的趨勢(shì)做出了重新評(píng)估。

VeriSign首席技術(shù)官Ken Silva說(shuō)，分布式拒絕服務(wù)攻擊“可能只占我們所有流量中的百分之幾。這對(duì)于我們來(lái)說(shuō)是個(gè)輕微污染的小問(wèn)題，但對(duì)于受害者來(lái)說(shuō)就是非常嚴(yán)重的大問(wèn)題。”

最好的解決辦法就是順藤摸瓜挖出攻擊者，在目前僵尸網(wǎng)絡(luò)和匿名代理泛濫的情況下，要想做到這一點(diǎn)非常困難。然而，專家認(rèn)為還有其他的辦法。以下便是我們?cè)诿鎸?duì)新舊兩代分布式拒絕服務(wù)攻擊（DDoS）時(shí)得到的四個(gè)教訓(xùn)。

DDoS 攻擊日益簡(jiǎn)單

過(guò)去，被用于分布式拒絕服務(wù)攻擊的計(jì)算機(jī)通常都受到了單個(gè)蠕蟲(chóng)的感染。當(dāng)在足夠多的系統(tǒng)上清除這些蠕蟲(chóng)后，攻擊者繼續(xù)對(duì)網(wǎng)絡(luò)發(fā)動(dòng)攻擊的能力便告終結(jié)。

然而，網(wǎng)絡(luò)保護(hù)服務(wù)商Prolexic公司首席技術(shù)官Paul Sop指出，隨著長(zhǎng)效僵尸網(wǎng)絡(luò)的不斷出現(xiàn)，以及這些僵尸網(wǎng)絡(luò)被大量出租給攻擊者，犯罪分子可以隨心所欲地向受害者的網(wǎng)絡(luò)發(fā)起洪水般的攻擊。此外，淹沒(méi)單個(gè)網(wǎng)絡(luò)連接也變得更加容易，尤其是在DdoS攻擊帶寬大幅增長(zhǎng)的條件下。

Sop說(shuō)：“攻擊者現(xiàn)在可以非常容易地提高帶寬來(lái)向你發(fā)起攻擊，對(duì)此很多人還都不了解。”

2005年，受害者遭受攻擊時(shí)遇到的峰值流量是3.5 Gbps。2006年，這一數(shù)字已經(jīng)超過(guò)10 Gbps，Internet骨干網(wǎng)連接能力在很多情況下成了惟一的限制因素。2009年，Arbor Networks探測(cè)到2700多次超過(guò)10 Gbps的攻擊。

具體應(yīng)用成為攻擊目標(biāo)

然而，今天針對(duì)企業(yè)基礎(chǔ)設(shè)施中資源密集型部分的拒絕服務(wù)攻擊威脅正在與日俱增，其目的就是將這些關(guān)鍵的服務(wù)器和服務(wù)徹底淹沒(méi)。攻擊者會(huì)使用針對(duì)具體應(yīng)用的低帶寬攻擊來(lái)攻擊受害者的在線服務(wù)。

Prolexic公司的Sop說(shuō)，例如，濫用加密HTTP請(qǐng)求可能淹沒(méi)企業(yè)的服務(wù)器和路由器，或者打開(kāi)眾多的賬戶創(chuàng)建請(qǐng)求，使多種應(yīng)用掛起，從而形成另外一種攻擊。

他說(shuō)：“過(guò)去，這些家伙擊倒受害者時(shí)使用的是泰森式的重拳，但現(xiàn)在，很多攻擊者只需要在關(guān)鍵部位打擊網(wǎng)站就可以輕松將其打倒。真正的攻擊者會(huì)向應(yīng)用本身發(fā)起攻擊。”

了解同一數(shù)據(jù)中心的情況

在云中，企業(yè)要擔(dān)心的不僅是其資源受到的攻擊，還要擔(dān)心同處一地的其他租戶所受的攻擊。如果一家企業(yè)與其他用戶分享服務(wù)，當(dāng)然就必須確保所用的設(shè)施具備了充足的保護(hù)。物理服務(wù)器可以容納多個(gè)客戶的虛擬機(jī)，而且服務(wù)商在確保虛擬機(jī)之間的安全空間，以及處理受監(jiān)管行業(yè)法規(guī)一致性問(wèn)題時(shí)會(huì)采取不同的方法。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]