當(dāng)拒絕服務(wù)攻擊遇到云:4個(gè)教訓(xùn)
原創(chuàng)【11月3日51CTO外電頭條】拒絕服務(wù)攻擊這一古老的網(wǎng)絡(luò)犯罪在幾年再次成為了數(shù)據(jù)中心運(yùn)營(yíng)者們的心頭之患。
隨著公司越來(lái)越多地使用虛擬化數(shù)據(jù)中心和云服務(wù),企業(yè)基礎(chǔ)架構(gòu)中新的薄弱環(huán)節(jié)也就漸漸浮出了水面。與此同時(shí),拒絕服務(wù)攻擊正在把目標(biāo)從野蠻的數(shù)據(jù)洪潮中轉(zhuǎn)向?qū)?yīng)用基礎(chǔ)架構(gòu)更具技術(shù)性的攻擊。
對(duì)于把關(guān)鍵商業(yè)數(shù)據(jù)存儲(chǔ)在外部設(shè)備和業(yè)務(wù)依賴于持續(xù)通訊的企業(yè)而言,這樣的威脅日趨嚴(yán)重。另外,隨著多租戶服務(wù)的普及,拒絕服務(wù)已經(jīng)把攻勢(shì)瞄準(zhǔn)了那些可能對(duì)其它協(xié)同定位公司的服務(wù)產(chǎn)生重大影響的公司,即便兩者并處于同一行業(yè)。
"企業(yè)依然把安全和有效性列為接受云計(jì)算的頭等障礙,"Frost & Sullivan的信息安全研究全球項(xiàng)目經(jīng)理Rob Ayoub在一份聲明中稱,"今天的主機(jī)和其他數(shù)據(jù)中心經(jīng)營(yíng)者必須有能力在不中斷對(duì)用戶服務(wù)的同時(shí)從容地應(yīng)對(duì)這些攻擊。"
最明顯的攻擊將繼續(xù)像數(shù)據(jù)的洪水一般侵襲受害者的網(wǎng)絡(luò),干擾公司與其上游供應(yīng)商的聯(lián)系。網(wǎng)絡(luò)基礎(chǔ)架構(gòu)公司VeriSign(VRSN)在最新的域名行業(yè)簡(jiǎn)報(bào)中指出,暴力的拒絕服務(wù)攻擊的勢(shì)頭猛增,這些可以在迅速增加的域名查找中看出來(lái)。
分布式拒絕服務(wù)攻擊"可能會(huì)在我們的通信流量中占有幾個(gè)百分點(diǎn),"VeriSign的首席技術(shù)官Ken Silva說(shuō)。"這對(duì)于我們而言不過(guò)是一個(gè)很小的污染問(wèn)題,但是對(duì)于受害者而言就很成問(wèn)題了。"
最好的解決辦法是追捕到攻擊者,可是在僵尸網(wǎng)絡(luò)和匿名代理的世界里,這又談何容易。不過(guò),專家說(shuō)還是有辦法的。以下列出四個(gè)關(guān)于新舊世界中分布式拒絕服務(wù)攻擊(DDoS)的經(jīng)驗(yàn)之談,供大家借鑒。
1.分布式拒絕服務(wù)攻擊非常簡(jiǎn)單
過(guò)去,在分布式拒絕服務(wù)攻擊中的計(jì)算機(jī)一般會(huì)受到一個(gè)單一病毒的攻擊。當(dāng)病毒從足夠多的系統(tǒng)中清除出去,攻擊者就能夠繼續(xù)覆沒(méi)一個(gè)網(wǎng)絡(luò)。然而,隨著僵尸網(wǎng)絡(luò)的興起,還有將這些網(wǎng)絡(luò)租賃給攻擊者和犯罪分子,受害者的網(wǎng)絡(luò)安全就受到了嚴(yán)重的威脅。除此以外,僅僅控制一個(gè)網(wǎng)絡(luò)連接變得十分簡(jiǎn)單,特別是通過(guò)顯著增加帶寬進(jìn)行的分布式拒絕服務(wù)攻擊,Prolexic網(wǎng)絡(luò)防護(hù)服務(wù)首席技術(shù)官Paul Sop說(shuō)。
"人們不了解攻擊者用增加帶寬來(lái)?yè)魯∧阌卸嗝摧p而易舉,"Sop說(shuō)。
在2005年,受害者在受到攻擊時(shí)所監(jiān)測(cè)到的信息流量高達(dá)到3.5Gbps。在2006年,這個(gè)數(shù)字甚至超過(guò)了10Gbps,在很多情況下還受到網(wǎng)絡(luò)主干線能力的限制。在2009年,Arbor Networks監(jiān)測(cè)到有超過(guò)2700起襲擊事件中的信息流量超過(guò)10Gbps。
2.具體的應(yīng)用程序成為目標(biāo)
今天,拒絕服務(wù)攻擊的危險(xiǎn)越來(lái)越集中在公司基礎(chǔ)架構(gòu)中資源密集型的部分,之后使關(guān)鍵服務(wù)器和服務(wù)中斷。攻擊者使用低帶寬攻擊特定的應(yīng)用程序,以此來(lái)攻擊受害者的在線服務(wù)。
比如,濫用安全HTTP請(qǐng)求可能會(huì)讓公司的服務(wù)器和路由器癱瘓,或者開(kāi)放大量賬戶創(chuàng)建請(qǐng)求,以此來(lái)牽制很多應(yīng)用程序,Sop說(shuō)。
"這些人在過(guò)去學(xué)會(huì)了如何用泰森式的拳頭來(lái)?yè)魯∈芎φ撸窃谧罱娜昀铮覀円部吹搅撕芏嗳嗣鎸?duì)這樣的攻擊如何做出漂亮的回應(yīng),"他說(shuō),"真正的攻擊者只攻擊應(yīng)用程序本身。"
3.了解主機(jī)代管的現(xiàn)實(shí)
在云中,公司不僅僅需要擔(dān)心針對(duì)他們資源的攻擊,而且需要留意他們協(xié)同定位的租戶。當(dāng)然,使用協(xié)同定位服務(wù)的公司必須確保他們的設(shè)備受到妥善的保護(hù)。物理服務(wù)器可能控制著大多用戶的虛擬機(jī),供應(yīng)商也應(yīng)該采取不同的措施來(lái)確保虛擬機(jī)之間的安全。
"那些供應(yīng)商在共享平臺(tái)上托管很多客戶,"Sop說(shuō)。事實(shí)上,公司不太可能了解他們到底擁有怎樣的鄰居,所以審核他們數(shù)據(jù)中心房東的防御體系應(yīng)該是他們所做的第一步。了解你對(duì)于安全問(wèn)題所需要擔(dān)負(fù)的責(zé)任也非常重要,因?yàn)橛袝r(shí)候,這不屬于你的協(xié)同定位供應(yīng)商的職責(zé)范圍。
4.期待云來(lái)幫助云
雖然向云計(jì)算的運(yùn)動(dòng)已經(jīng)凸現(xiàn)了企業(yè)基礎(chǔ)架構(gòu)中的弱點(diǎn),并且增加了公司連接到網(wǎng)絡(luò)的危險(xiǎn)性,但是,不可否認(rèn),云計(jì)算能夠迅速提供資源并且能夠快速收集關(guān)鍵領(lǐng)域?qū)I(yè)信息的能力可以緩解這樣的威脅,Silva說(shuō)。
"你可以擁有世界上最棒的數(shù)據(jù)中心,但是你只能在每個(gè)數(shù)據(jù)中心里安置一定數(shù)量的帶寬,"他說(shuō)。
相反,公司應(yīng)該與一家?guī)捈捶?wù)的供應(yīng)商達(dá)成協(xié)議,無(wú)論是內(nèi)容分發(fā)網(wǎng)絡(luò)比如Akamai或者是像VeriSign提供的更為純粹的基礎(chǔ)架構(gòu)支持,他補(bǔ)充道。
"我認(rèn)為CIO們需要不斷地學(xué)習(xí)和汲取經(jīng)驗(yàn)教訓(xùn)才是在云中減少拒絕服務(wù)攻擊唯一真正的出路,不論這個(gè)云是幫你自己創(chuàng)建的還是你購(gòu)買的,"Silva說(shuō)。
對(duì)于每一個(gè)數(shù)據(jù)中心的運(yùn)營(yíng)者而言,真正的教訓(xùn)是,如果這樣的襲擊已經(jīng)干預(yù)了你的網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的聯(lián)系,那么,就太遲了。
"受害者所能做的最壞的打算就是在自己的家門口進(jìn)行防御之戰(zhàn),"Sop說(shuō)。
【編輯推薦】
