當DDoS遇到云計算

拒絕服務式攻擊這種老式的網絡犯罪在沉默多時后，又成為了數(shù)據中心運營商新的心頭大患。

隨著越來越多的公司使用虛擬化數(shù)據中心和云服務，企業(yè)基礎設施中的新弱點也就暴露了出來。與此同時，拒絕服務式攻擊正在從數(shù)據暴力泛濫方式轉向更為詭計多端的方式——向應用基礎設施發(fā)起攻擊。

對于那些將關鍵商業(yè)數(shù)據放在自身設施之外的企業(yè)，這種組合構成的威脅將會越來越大，因為這些企業(yè)的業(yè)務對不間斷通信的依賴程度很高。此外，隨著多租戶服務越來越普遍，瞄準一家公司的攻擊活動可能會對毫不相干，但共同使用同一數(shù)據中心的其他企業(yè)造成巨大的影響。

Frost & Sullivan信息安全研究全球項目主任Rob Ayoub在一份聲明中指出：“企業(yè)仍然認為安全性和可用性是其采用云計算道路上的最大障礙。鑒于企業(yè)有這方面的擔憂，今天的主機和其他數(shù)據中心運營商必須具備避免此類攻擊的能力，同時還不能對面向客戶的服務造成干擾。”

這些最明顯的攻擊仍在繼續(xù)源源不斷地向受害者的網絡發(fā)送數(shù)據，將企業(yè)與其上游服務商之間的連接完全淹沒。從域名查詢數(shù)量的增長就可以看出，暴力拒絕服務式攻擊也在不斷增長，Internet基礎設施公司VeriSign在其“域名行業(yè)簡報”中對這方面的趨勢做出了重新評估。

VeriSign首席技術官Ken Silva說，分布式拒絕服務攻擊“可能只占我們所有流量中的百分之幾。這對于我們來說是個輕微污染的小問題，但對于受害者來說就是非常嚴重的大問題。”

最好的解決辦法就是順藤摸瓜挖出攻擊者，在目前僵尸網絡和匿名代理泛濫的情況下，要想做到這一點非常困難。然而，專家認為還有其他的辦法。以下便是我們在面對新舊兩代分布式拒絕服務攻擊（DDoS）時得到的四個教訓。

DDoS 攻擊日益簡單

過去，被用于分布式拒絕服務攻擊的計算機通常都受到了單個蠕蟲的感染。當在足夠多的系統(tǒng)上清除這些蠕蟲后，攻擊者繼續(xù)對網絡發(fā)動攻擊的能力便告終結。

然而，網絡保護服務商Prolexic公司首席技術官Paul Sop指出，隨著長效僵尸網絡的不斷出現(xiàn)，以及這些僵尸網絡被大量出租給攻擊者，犯罪分子可以隨心所欲地向受害者的網絡發(fā)起洪水般的攻擊。此外，淹沒單個網絡連接也變得更加容易，尤其是在DdoS攻擊帶寬大幅增長的條件下。

Sop說：“攻擊者現(xiàn)在可以非常容易地提高帶寬來向你發(fā)起攻擊，對此很多人還都不了解。”

2005年，受害者遭受攻擊時遇到的峰值流量是3.5 Gbps。2006年，這一數(shù)字已經超過10 Gbps，Internet骨干網連接能力在很多情況下成了惟一的限制因素。2009年，Arbor Networks探測到2700多次超過10 Gbps的攻擊。

具體應用成為攻擊目標

然而，今天針對企業(yè)基礎設施中資源密集型部分的拒絕服務攻擊威脅正在與日俱增，其目的就是將這些關鍵的服務器和服務徹底淹沒。攻擊者會使用針對具體應用的低帶寬攻擊來攻擊受害者的在線服務。

Prolexic公司的Sop說，例如，濫用加密HTTP請求可能淹沒企業(yè)的服務器和路由器，或者打開眾多的賬戶創(chuàng)建請求，使多種應用掛起，從而形成另外一種攻擊。

他說：“過去，這些家伙擊倒受害者時使用的是泰森式的重拳，但現(xiàn)在，很多攻擊者只需要在關鍵部位打擊網站就可以輕松將其打倒。真正的攻擊者會向應用本身發(fā)起攻擊。”

了解同一數(shù)據中心的情況

在云中，企業(yè)要擔心的不僅是其資源受到的攻擊，還要擔心同處一地的其他租戶所受的攻擊。如果一家企業(yè)與其他用戶分享服務，當然就必須確保所用的設施具備了充足的保護。物理服務器可以容納多個客戶的虛擬機，而且服務商在確保虛擬機之間的安全空間，以及處理受監(jiān)管行業(yè)法規(guī)一致性問題時會采取不同的方法。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]