當(dāng)DDoS遇到云計(jì)算
拒絕服務(wù)式攻擊這種老式的網(wǎng)絡(luò)犯罪在沉默多時(shí)后,又成為了數(shù)據(jù)中心運(yùn)營商新的心頭大患。
隨著越來越多的公司使用虛擬化數(shù)據(jù)中心和云服務(wù),企業(yè)基礎(chǔ)設(shè)施中的新弱點(diǎn)也就暴露了出來。與此同時(shí),拒絕服務(wù)式攻擊正在從數(shù)據(jù)暴力泛濫方式轉(zhuǎn)向更為詭計(jì)多端的方式——向應(yīng)用基礎(chǔ)設(shè)施發(fā)起攻擊。
對(duì)于那些將關(guān)鍵商業(yè)數(shù)據(jù)放在自身設(shè)施之外的企業(yè),這種組合構(gòu)成的威脅將會(huì)越來越大,因?yàn)檫@些企業(yè)的業(yè)務(wù)對(duì)不間斷通信的依賴程度很高。此外,隨著多租戶服務(wù)越來越普遍,瞄準(zhǔn)一家公司的攻擊活動(dòng)可能會(huì)對(duì)毫不相干,但共同使用同一數(shù)據(jù)中心的其他企業(yè)造成巨大的影響。
Frost & Sullivan信息安全研究全球項(xiàng)目主任Rob Ayoub在一份聲明中指出:“企業(yè)仍然認(rèn)為安全性和可用性是其采用云計(jì)算道路上的最大障礙。鑒于企業(yè)有這方面的擔(dān)憂,今天的主機(jī)和其他數(shù)據(jù)中心運(yùn)營商必須具備避免此類攻擊的能力,同時(shí)還不能對(duì)面向客戶的服務(wù)造成干擾。”
這些最明顯的攻擊仍在繼續(xù)源源不斷地向受害者的網(wǎng)絡(luò)發(fā)送數(shù)據(jù),將企業(yè)與其上游服務(wù)商之間的連接完全淹沒。從域名查詢數(shù)量的增長就可以看出,暴力拒絕服務(wù)式攻擊也在不斷增長,Internet基礎(chǔ)設(shè)施公司VeriSign在其“域名行業(yè)簡報(bào)”中對(duì)這方面的趨勢(shì)做出了重新評(píng)估。
VeriSign首席技術(shù)官Ken Silva說,分布式拒絕服務(wù)攻擊“可能只占我們所有流量中的百分之幾。這對(duì)于我們來說是個(gè)輕微污染的小問題,但對(duì)于受害者來說就是非常嚴(yán)重的大問題。”
最好的解決辦法就是順藤摸瓜挖出攻擊者,在目前僵尸網(wǎng)絡(luò)和匿名代理泛濫的情況下,要想做到這一點(diǎn)非常困難。然而,專家認(rèn)為還有其他的辦法。以下便是我們?cè)诿鎸?duì)新舊兩代分布式拒絕服務(wù)攻擊(DDoS)時(shí)得到的四個(gè)教訓(xùn)。
DDoS 攻擊日益簡單
過去,被用于分布式拒絕服務(wù)攻擊的計(jì)算機(jī)通常都受到了單個(gè)蠕蟲的感染。當(dāng)在足夠多的系統(tǒng)上清除這些蠕蟲后,攻擊者繼續(xù)對(duì)網(wǎng)絡(luò)發(fā)動(dòng)攻擊的能力便告終結(jié)。
然而,網(wǎng)絡(luò)保護(hù)服務(wù)商Prolexic公司首席技術(shù)官Paul Sop指出,隨著長效僵尸網(wǎng)絡(luò)的不斷出現(xiàn),以及這些僵尸網(wǎng)絡(luò)被大量出租給攻擊者,犯罪分子可以隨心所欲地向受害者的網(wǎng)絡(luò)發(fā)起洪水般的攻擊。此外,淹沒單個(gè)網(wǎng)絡(luò)連接也變得更加容易,尤其是在DdoS攻擊帶寬大幅增長的條件下。
Sop說:“攻擊者現(xiàn)在可以非常容易地提高帶寬來向你發(fā)起攻擊,對(duì)此很多人還都不了解。”
2005年,受害者遭受攻擊時(shí)遇到的峰值流量是3.5 Gbps。2006年,這一數(shù)字已經(jīng)超過10 Gbps,Internet骨干網(wǎng)連接能力在很多情況下成了惟一的限制因素。2009年,Arbor Networks探測(cè)到2700多次超過10 Gbps的攻擊。
具體應(yīng)用成為攻擊目標(biāo)
然而,今天針對(duì)企業(yè)基礎(chǔ)設(shè)施中資源密集型部分的拒絕服務(wù)攻擊威脅正在與日俱增,其目的就是將這些關(guān)鍵的服務(wù)器和服務(wù)徹底淹沒。攻擊者會(huì)使用針對(duì)具體應(yīng)用的低帶寬攻擊來攻擊受害者的在線服務(wù)。
Prolexic公司的Sop說,例如,濫用加密HTTP請(qǐng)求可能淹沒企業(yè)的服務(wù)器和路由器,或者打開眾多的賬戶創(chuàng)建請(qǐng)求,使多種應(yīng)用掛起,從而形成另外一種攻擊。
他說:“過去,這些家伙擊倒受害者時(shí)使用的是泰森式的重拳,但現(xiàn)在,很多攻擊者只需要在關(guān)鍵部位打擊網(wǎng)站就可以輕松將其打倒。真正的攻擊者會(huì)向應(yīng)用本身發(fā)起攻擊。”
了解同一數(shù)據(jù)中心的情況
在云中,企業(yè)要擔(dān)心的不僅是其資源受到的攻擊,還要擔(dān)心同處一地的其他租戶所受的攻擊。如果一家企業(yè)與其他用戶分享服務(wù),當(dāng)然就必須確保所用的設(shè)施具備了充足的保護(hù)。物理服務(wù)器可以容納多個(gè)客戶的虛擬機(jī),而且服務(wù)商在確保虛擬機(jī)之間的安全空間,以及處理受監(jiān)管行業(yè)法規(guī)一致性問題時(shí)會(huì)采取不同的方法。#p#
Sop說:“這些服務(wù)商要通過共享式平臺(tái)為許多客戶提供主機(jī)服務(wù)。”
雖然企業(yè)不太可能知道自己的“虛擬”鄰居是誰,但必須首先要核實(shí)數(shù)據(jù)中心服務(wù)商的防御能力。另外,還要了解自己需要在安全方面承擔(dān)哪些責(zé)任,而不是將所有的責(zé)任都推到服務(wù)商的身上,這一點(diǎn)至關(guān)重要。
讓云來幫助云
Silva說,雖然向云計(jì)算的移植過程在商業(yè)基礎(chǔ)設(shè)施中暴露出許多弱點(diǎn),提高了企業(yè)對(duì)Internet連接的依賴程度,但云計(jì)算迅速供應(yīng)資源并在關(guān)鍵領(lǐng)域收集專業(yè)知識(shí)的能力將有助于有效規(guī)避這一威脅。
他說:“您或許擁有世界上最好的數(shù)據(jù)中心,但只能為它提供與數(shù)據(jù)中心需求相適應(yīng)的帶寬。”
他說,相反的,企業(yè)應(yīng)當(dāng)與帶寬即服務(wù)供應(yīng)商建立聯(lián)系,無論它是Akamai之類的內(nèi)容發(fā)布網(wǎng)絡(luò),還是VeriSign這樣的純基礎(chǔ)設(shè)施服務(wù)商都行。
Silva說:“我認(rèn)為這些首席信息官獲得的教訓(xùn)是,真正能夠避免拒絕服務(wù)攻擊的正確方法在云中,包括您自己創(chuàng)建的云和花錢購買的云。”
Prolexic公司的Sop說,每家數(shù)據(jù)中心運(yùn)營商應(yīng)當(dāng)吸取的教訓(xùn)是,如果攻擊到達(dá)了您與Internet之間的網(wǎng)絡(luò)連接,那就已經(jīng)為時(shí)太晚了。Sop表示:“受害者面臨的最糟糕的事情就是,在自家的門口與敵人作戰(zhàn)。”
DDoS遇到云計(jì)算的四個(gè)教訓(xùn):
發(fā)動(dòng)DDoS攻擊日益簡單化:隨著長效僵尸網(wǎng)絡(luò)的不斷出現(xiàn),以及這些僵尸網(wǎng)絡(luò)被大量出租給攻擊者,犯罪分子可以隨心所欲地向受害者的網(wǎng)絡(luò)發(fā)起洪水般的攻擊。
具體應(yīng)用成為攻擊目標(biāo):攻擊者會(huì)使用針對(duì)具體應(yīng)用的低帶寬攻擊來攻擊受害者的在線服務(wù)。例如,濫用加密HTTP請(qǐng)求可能淹沒企業(yè)的服務(wù)器和路由器等。
了解同一數(shù)據(jù)中心的情況:雖然企業(yè)不太可能知道自己的鄰居是誰,但首先核實(shí)數(shù)據(jù)中心服務(wù)商的防御能力。另外,還要了解您自己需要在安全方面承擔(dān)哪些責(zé)任,而不是將所有的責(zé)任都推到服務(wù)商的身上,這一點(diǎn)至關(guān)重要。
讓云來幫助云:云計(jì)算迅速供應(yīng)資源并在關(guān)鍵領(lǐng)域收集專業(yè)知識(shí)的能力將有助于有效規(guī)避數(shù)據(jù)中心在向云遷移中遇到的威脅。
【編輯推薦】
