云計(jì)算應(yīng)對(duì)拒絕服務(wù)攻擊的四個(gè)教訓(xùn)

　　隨著越來越多的公司開始使用虛擬化數(shù)據(jù)中心和云服務(wù)，企業(yè)基礎(chǔ)設(shè)施出現(xiàn)了新的弱點(diǎn)。與此同時(shí)，拒絕服務(wù)攻擊也開始由原來利用大量數(shù)據(jù)流進(jìn)行暴力式攻擊轉(zhuǎn)變?yōu)獒槍?duì)基礎(chǔ)應(yīng)用程序的技術(shù)性攻擊。

　　拒絕服務(wù)攻擊正對(duì)那些將重要業(yè)務(wù)數(shù)據(jù)放置在公司以外的公司構(gòu)成越來越大的威脅，因?yàn)樗麄兊臉I(yè)務(wù)依賴于持續(xù)的通訊。此外，隨著多租戶的普及，針對(duì)一個(gè)公司的攻擊可能會(huì)影響到另外一些雖然沒有聯(lián)系的，但也采用主機(jī)托管的公司的服務(wù)。

　　Frost & Sullivan公司信息安全研究部全球項(xiàng)目總監(jiān)Rob Ayoub稱：“在部署云計(jì)算中，企業(yè)一直將安全性和可獲得性作為重中之重�？紤]到這些因素，托管和其他的數(shù)據(jù)中心管理人員必須具備在不中斷客戶服務(wù)的情況下緩解攻擊的能力。”

　　效果最明顯的攻擊仍然是發(fā)送大量的數(shù)據(jù)包，這將重創(chuàng)受害者的網(wǎng)絡(luò)，堵塞公司與上游服務(wù)提供商之間的連接。暴力式拒絕服務(wù)攻擊正在大幅增長(zhǎng)，這導(dǎo)致互聯(lián)網(wǎng)基礎(chǔ)設(shè)施公司VeriSign在他們最新一期“域名行業(yè)簡(jiǎn)報(bào)”(Domain Name Industry Brief)中對(duì)這一趨勢(shì)進(jìn)行了評(píng)論。

　　VeriSign 公司首席技術(shù)官Ken Silva 稱：“分布式拒絕服務(wù)攻擊可能在我們信息中占一定比例。對(duì)于我們來說這是一個(gè)很小的問題，但是對(duì)于受害者來說這卻是一個(gè)重大問題。”

　　最佳的解決方案是抓獲攻擊者，但是由于全球僵尸網(wǎng)絡(luò)泛濫和大量的匿名代理導(dǎo)致這非常困難。不過專家表示，除此之外還是有一些其它的解決辦法。以下是四則關(guān)于DDoS攻擊的教訓(xùn)。

　　1、發(fā)動(dòng)DDoS攻擊很容易

　　過去，黑客發(fā)動(dòng)拒絕服務(wù)攻擊通常是通過一個(gè)蠕蟲病毒。當(dāng)蠕蟲病毒在整個(gè)系統(tǒng)中被清除后，黑客癱瘓整個(gè)網(wǎng)絡(luò)的能力也將隨之終止。

　　網(wǎng)絡(luò)保護(hù)服務(wù)公司Prolexic公司首席技術(shù)官Paul Sop稱，隨著極難根除的僵尸網(wǎng)絡(luò)的出現(xiàn)，以及向攻擊者出租這些僵尸網(wǎng)絡(luò)的營(yíng)生的出現(xiàn)，犯罪分子可以隨意的用數(shù)據(jù)包淹沒受害者的網(wǎng)絡(luò)。并且堵塞單一的網(wǎng)絡(luò)連接變得更為容易，特別是在DDoS攻擊帶寬大幅增加后。

　　Sop稱：“人們不明白攻擊者怎么那么容易就可以的增加他們的帶寬以實(shí)施攻擊。”

　　統(tǒng)計(jì)信息顯示，在2005年，攻擊數(shù)量達(dá)到頂峰時(shí)的帶寬為3.5 Gbps。到了2006年，這一數(shù)值超過了10 Gbps，并且在很多情況下受到了互聯(lián)網(wǎng)骨干連接能力的限制。Arbor網(wǎng)絡(luò)的調(diào)查顯示，在2009年，帶寬超過10 Gbps的情況下發(fā)生了2700多起攻擊事件。

　　2、以特殊應(yīng)用為目標(biāo)

　　盡管目前拒絕服務(wù)攻擊的風(fēng)險(xiǎn)正在增大，過去這些攻擊主要將目標(biāo)鎖定為公司基礎(chǔ)設(shè)施中的資源密集部分，但是現(xiàn)在關(guān)鍵服務(wù)器與服務(wù)成為了攻擊目標(biāo)。攻擊者利用低帶寬對(duì)特殊應(yīng)用進(jìn)行攻擊即可癱瘓受害者的在線服務(wù)。

　　Prolexic公司的Sop舉例稱，濫用安全HTTP請(qǐng)求會(huì)導(dǎo)致公司服務(wù)器和路由器堵塞，大量的帳戶創(chuàng)建請(qǐng)求也會(huì)堵死許多應(yīng)用。

　　他稱：“這些壞家伙在過去學(xué)會(huì)了如何用泰森的拳法暴打受害者，然而在過去三年里，我們發(fā)現(xiàn)這些家伙開始轉(zhuǎn)戰(zhàn)網(wǎng)絡(luò)，對(duì)網(wǎng)站進(jìn)行攻擊。不過，真正的攻擊者攻擊的目標(biāo)是應(yīng)用自身。”

　　3、熟悉主機(jī)托管

　　在云計(jì)算中，公司需要擔(dān)心的不僅僅是對(duì)他們資源的攻擊，還需要擔(dān)心對(duì)主機(jī)托管租戶的攻擊。使用主機(jī)托管服務(wù)的公司必須確保設(shè)施獲得了充分的保護(hù)。物理服務(wù)器可以支持多個(gè)客戶的虛擬機(jī)，提供商采取不同的措施以確保虛擬機(jī)間的安全距離，為受管制行業(yè)中的客戶處理相關(guān)的管制問題。Sop稱：“這些提供商在共享平臺(tái)上托管著大量的客戶。”

　　盡管公司不太可能知道他們的鄰居是誰，但是審查他們租用的數(shù)據(jù)中心的防御措施是第一步。熟悉自己需要承擔(dān)哪些安全負(fù)責(zé)，托管提供商無需承擔(dān)哪些安全責(zé)任也是非常重要的。

　　4、用云計(jì)算幫助云計(jì)算

　　盡管云計(jì)算的普及正在為公司的基礎(chǔ)設(shè)施帶來一些新弱點(diǎn)，增加了公司與互聯(lián)網(wǎng)連接的重要性，但是云計(jì)算可以快速提供資源、匯聚重要領(lǐng)域內(nèi)的專家的特點(diǎn)也可幫助緩解威脅。

　　Sop稱：“你能夠擁有世界上最好的數(shù)據(jù)中心，但是對(duì)于每個(gè)數(shù)據(jù)中心，你只能擁有不多的帶寬。”

　　相反，公司應(yīng)當(dāng)與帶寬即服務(wù)提供商簽訂合同，無論其服務(wù)是類似Akamai公司的內(nèi)容分發(fā)網(wǎng)絡(luò)還是類似VeriSign公司那樣的純粹基礎(chǔ)設(shè)施服務(wù)。

　　Silva稱：“我認(rèn)為，對(duì)于首席信息官來說能夠真正并且有效緩解拒絕服務(wù)攻擊的方法正是云計(jì)算，無論這個(gè)云是你自己創(chuàng)建的還是你購買的。”

　　Sop指出，每位數(shù)據(jù)中心管理人員需要吸收的教訓(xùn)是，如果攻擊到達(dá)了連接互聯(lián)網(wǎng)的網(wǎng)絡(luò)連接，那么一切都為時(shí)已晚。他稱：“對(duì)于受害者來說，最糟糕的事情就是在家門口與攻擊者作戰(zhàn)。”

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]