當DDoS遇到云計算
拒絕服務式攻擊這種老式的網絡犯罪在沉默多時后,又成為了數據中心運營商新的心頭大患。
隨著越來越多的公司使用虛擬化數據中心和云服務,企業基礎設施中的新弱點也就暴露了出來。與此同時,拒絕服務式攻擊正在從數據暴力泛濫方式轉向更為詭計多端的方式——向應用基礎設施發起攻擊。
對于那些將關鍵商業數據放在自身設施之外的企業,這種組合構成的威脅將會越來越大,因為這些企業的業務對不間斷通信的依賴程度很高。此外,隨著多租戶服務越來越普遍,瞄準一家公司的攻擊活動可能會對毫不相干,但共同使用同一數據中心的其他企業造成巨大的影響。
Frost & Sullivan信息安全研究全球項目主任Rob Ayoub在一份聲明中指出:“企業仍然認為安全性和可用性是其采用云計算道路上的最大障礙。鑒于企業有這方面的擔憂,今天的主機和其他數據中心運營商必須具備避免此類攻擊的能力,同時還不能對面向客戶的服務造成干擾。”
這些最明顯的攻擊仍在繼續源源不斷地向受害者的網絡發送數據,將企業與其上游服務商之間的連接完全淹沒。從域名查詢數量的增長就可以看出,暴力拒絕服務式攻擊也在不斷增長,Internet基礎設施公司VeriSign在其“域名行業簡報”中對這方面的趨勢做出了重新評估。
VeriSign首席技術官Ken Silva說,分布式拒絕服務攻擊“可能只占我們所有流量中的百分之幾。這對于我們來說是個輕微污染的小問題,但對于受害者來說就是非常嚴重的大問題。”
最好的解決辦法就是順藤摸瓜挖出攻擊者,在目前僵尸網絡和匿名代理泛濫的情況下,要想做到這一點非常困難。然而,專家認為還有其他的辦法。以下便是我們在面對新舊兩代分布式拒絕服務攻擊(DDoS)時得到的四個教訓。
DDoS 攻擊日益簡單
過去,被用于分布式拒絕服務攻擊的計算機通常都受到了單個蠕蟲的感染。當在足夠多的系統上清除這些蠕蟲后,攻擊者繼續對網絡發動攻擊的能力便告終結。
然而,網絡保護服務商Prolexic公司首席技術官Paul Sop指出,隨著長效僵尸網絡的不斷出現,以及這些僵尸網絡被大量出租給攻擊者,犯罪分子可以隨心所欲地向受害者的網絡發起洪水般的攻擊。此外,淹沒單個網絡連接也變得更加容易,尤其是在DdoS攻擊帶寬大幅增長的條件下。
Sop說:“攻擊者現在可以非常容易地提高帶寬來向你發起攻擊,對此很多人還都不了解。”
2005年,受害者遭受攻擊時遇到的峰值流量是3.5 Gbps。2006年,這一數字已經超過10 Gbps,Internet骨干網連接能力在很多情況下成了惟一的限制因素。2009年,Arbor Networks探測到2700多次超過10 Gbps的攻擊。
具體應用成為攻擊目標
然而,今天針對企業基礎設施中資源密集型部分的拒絕服務攻擊威脅正在與日俱增,其目的就是將這些關鍵的服務器和服務徹底淹沒。攻擊者會使用針對具體應用的低帶寬攻擊來攻擊受害者的在線服務。
Prolexic公司的Sop說,例如,濫用加密HTTP請求可能淹沒企業的服務器和路由器,或者打開眾多的賬戶創建請求,使多種應用掛起,從而形成另外一種攻擊。
他說:“過去,這些家伙擊倒受害者時使用的是泰森式的重拳,但現在,很多攻擊者只需要在關鍵部位打擊網站就可以輕松將其打倒。真正的攻擊者會向應用本身發起攻擊。”
了解同一數據中心的情況
在云中,企業要擔心的不僅是其資源受到的攻擊,還要擔心同處一地的其他租戶所受的攻擊。如果一家企業與其他用戶分享服務,當然就必須確保所用的設施具備了充足的保護。物理服務器可以容納多個客戶的虛擬機,而且服務商在確保虛擬機之間的安全空間,以及處理受監管行業法規一致性問題時會采取不同的方法。#p#
Sop說:“這些服務商要通過共享式平臺為許多客戶提供主機服務。”
雖然企業不太可能知道自己的“虛擬”鄰居是誰,但必須首先要核實數據中心服務商的防御能力。另外,還要了解自己需要在安全方面承擔哪些責任,而不是將所有的責任都推到服務商的身上,這一點至關重要。
讓云來幫助云
Silva說,雖然向云計算的移植過程在商業基礎設施中暴露出許多弱點,提高了企業對Internet連接的依賴程度,但云計算迅速供應資源并在關鍵領域收集專業知識的能力將有助于有效規避這一威脅。
他說:“您或許擁有世界上最好的數據中心,但只能為它提供與數據中心需求相適應的帶寬。”
他說,相反的,企業應當與帶寬即服務供應商建立聯系,無論它是Akamai之類的內容發布網絡,還是VeriSign這樣的純基礎設施服務商都行。
Silva說:“我認為這些首席信息官獲得的教訓是,真正能夠避免拒絕服務攻擊的正確方法在云中,包括您自己創建的云和花錢購買的云。”
Prolexic公司的Sop說,每家數據中心運營商應當吸取的教訓是,如果攻擊到達了您與Internet之間的網絡連接,那就已經為時太晚了。Sop表示:“受害者面臨的最糟糕的事情就是,在自家的門口與敵人作戰。”
DDoS遇到云計算的四個教訓:
發動DDoS攻擊日益簡單化:隨著長效僵尸網絡的不斷出現,以及這些僵尸網絡被大量出租給攻擊者,犯罪分子可以隨心所欲地向受害者的網絡發起洪水般的攻擊。
具體應用成為攻擊目標:攻擊者會使用針對具體應用的低帶寬攻擊來攻擊受害者的在線服務。例如,濫用加密HTTP請求可能淹沒企業的服務器和路由器等。
了解同一數據中心的情況:雖然企業不太可能知道自己的鄰居是誰,但首先核實數據中心服務商的防御能力。另外,還要了解您自己需要在安全方面承擔哪些責任,而不是將所有的責任都推到服務商的身上,這一點至關重要。
讓云來幫助云:云計算迅速供應資源并在關鍵領域收集專業知識的能力將有助于有效規避數據中心在向云遷移中遇到的威脅。
【編輯推薦】
