當拒絕服務攻擊遇到云:4個教訓
原創【11月3日51CTO外電頭條】拒絕服務攻擊這一古老的網絡犯罪在幾年再次成為了數據中心運營者們的心頭之患。
隨著公司越來越多地使用虛擬化數據中心和云服務,企業基礎架構中新的薄弱環節也就漸漸浮出了水面。與此同時,拒絕服務攻擊正在把目標從野蠻的數據洪潮中轉向對應用基礎架構更具技術性的攻擊。
對于把關鍵商業數據存儲在外部設備和業務依賴于持續通訊的企業而言,這樣的威脅日趨嚴重。另外,隨著多租戶服務的普及,拒絕服務已經把攻勢瞄準了那些可能對其它協同定位公司的服務產生重大影響的公司,即便兩者并處于同一行業。
"企業依然把安全和有效性列為接受云計算的頭等障礙,"Frost & Sullivan的信息安全研究全球項目經理Rob Ayoub在一份聲明中稱,"今天的主機和其他數據中心經營者必須有能力在不中斷對用戶服務的同時從容地應對這些攻擊。"
最明顯的攻擊將繼續像數據的洪水一般侵襲受害者的網絡,干擾公司與其上游供應商的聯系。網絡基礎架構公司VeriSign(VRSN)在最新的域名行業簡報中指出,暴力的拒絕服務攻擊的勢頭猛增,這些可以在迅速增加的域名查找中看出來。
分布式拒絕服務攻擊"可能會在我們的通信流量中占有幾個百分點,"VeriSign的首席技術官Ken Silva說。"這對于我們而言不過是一個很小的污染問題,但是對于受害者而言就很成問題了。"
最好的解決辦法是追捕到攻擊者,可是在僵尸網絡和匿名代理的世界里,這又談何容易。不過,專家說還是有辦法的。以下列出四個關于新舊世界中分布式拒絕服務攻擊(DDoS)的經驗之談,供大家借鑒。
1.分布式拒絕服務攻擊非常簡單
過去,在分布式拒絕服務攻擊中的計算機一般會受到一個單一病毒的攻擊。當病毒從足夠多的系統中清除出去,攻擊者就能夠繼續覆沒一個網絡。然而,隨著僵尸網絡的興起,還有將這些網絡租賃給攻擊者和犯罪分子,受害者的網絡安全就受到了嚴重的威脅。除此以外,僅僅控制一個網絡連接變得十分簡單,特別是通過顯著增加帶寬進行的分布式拒絕服務攻擊,Prolexic網絡防護服務首席技術官Paul Sop說。
"人們不了解攻擊者用增加帶寬來擊敗你有多么輕而易舉,"Sop說。
在2005年,受害者在受到攻擊時所監測到的信息流量高達到3.5Gbps。在2006年,這個數字甚至超過了10Gbps,在很多情況下還受到網絡主干線能力的限制。在2009年,Arbor Networks監測到有超過2700起襲擊事件中的信息流量超過10Gbps。
2.具體的應用程序成為目標
今天,拒絕服務攻擊的危險越來越集中在公司基礎架構中資源密集型的部分,之后使關鍵服務器和服務中斷。攻擊者使用低帶寬攻擊特定的應用程序,以此來攻擊受害者的在線服務。
比如,濫用安全HTTP請求可能會讓公司的服務器和路由器癱瘓,或者開放大量賬戶創建請求,以此來牽制很多應用程序,Sop說。
"這些人在過去學會了如何用泰森式的拳頭來擊敗受害者,但是在最近的三年里,我們也看到了很多人面對這樣的攻擊如何做出漂亮的回應,"他說,"真正的攻擊者只攻擊應用程序本身。"
3.了解主機代管的現實
在云中,公司不僅僅需要擔心針對他們資源的攻擊,而且需要留意他們協同定位的租戶。當然,使用協同定位服務的公司必須確保他們的設備受到妥善的保護。物理服務器可能控制著大多用戶的虛擬機,供應商也應該采取不同的措施來確保虛擬機之間的安全。
"那些供應商在共享平臺上托管很多客戶,"Sop說。事實上,公司不太可能了解他們到底擁有怎樣的鄰居,所以審核他們數據中心房東的防御體系應該是他們所做的第一步。了解你對于安全問題所需要擔負的責任也非常重要,因為有時候,這不屬于你的協同定位供應商的職責范圍。
4.期待云來幫助云
雖然向云計算的運動已經凸現了企業基礎架構中的弱點,并且增加了公司連接到網絡的危險性,但是,不可否認,云計算能夠迅速提供資源并且能夠快速收集關鍵領域專業信息的能力可以緩解這樣的威脅,Silva說。
"你可以擁有世界上最棒的數據中心,但是你只能在每個數據中心里安置一定數量的帶寬,"他說。
相反,公司應該與一家帶寬即服務的供應商達成協議,無論是內容分發網絡比如Akamai或者是像VeriSign提供的更為純粹的基礎架構支持,他補充道。
"我認為CIO們需要不斷地學習和汲取經驗教訓才是在云中減少拒絕服務攻擊唯一真正的出路,不論這個云是幫你自己創建的還是你購買的,"Silva說。
對于每一個數據中心的運營者而言,真正的教訓是,如果這樣的襲擊已經干預了你的網絡與互聯網之間的聯系,那么,就太遲了。
"受害者所能做的最壞的打算就是在自己的家門口進行防御之戰,"Sop說。
【編輯推薦】
