[[171711]]

任何遭遇過DDoS攻擊的企業都知道這種攻擊會造成嚴重的破壞。除了顯而易見的影響，例如性能下降或企業網站完全無法訪問，還有不太明顯的影響，例如，如果企業在IaaS或甚至主機托管提供商那兒選擇“基于使用量的定價”，DDoS攻擊會給企業造成財務損失。當這些企業需要為帶寬或CPU時間付費時，DDoS相關的成本影響非常顯著。

鑒于分布式拒絕服務(DDoS)攻擊可能會帶來非常嚴重的后果，我們看到市場上涌現出很多專門防御或緩解這種類型攻擊的技術。這些技術依靠不同的機制;例如，一種技術利用云計算來緩解DDoS攻擊的影響，它會通過云服務提供商的DNS重置路由過濾有問題的流量。最常見的方法是調整DNS記錄將對客戶Web服務器的請求發送至云服務提供商，云服務提供商作為入站請求的反向代理，他們會過濾惡意流量并將合法流量返回給客戶。

這種解決方案有很多優勢：它不需要修改客戶的網站，不需要部署新硬件，并可以快速啟用或禁用。然而，依靠DNS重置路由也可能讓問題復雜化。由于流量會首先通過DNS解析到達云服務提供商，攻擊可繞過域名解析(例如直接瞄準底層客戶IP地址)，使其完全可以繞過這種保護機制。

CloudPiercer

從實踐來看，這里帶來的啟示是：隱藏客戶想要保護的服務的源IP很重要。事實上，這種緩解服務帶來的價值與獲取原始信息的難易程度有關，這些信息隱藏得越好，攻擊者越難發起攻擊。

這是比利時Leuven大學和紐約州立大學Stony Brook分校研究人員提出的觀點，他們對很多用于發現服務器(這些服務器受基于DDoS防護技術保護)原始IP的技術進行了測試。他們查看了IP歷史數據庫、解析到原始IP的子域名(例如用于SSH連接的子域名)、DNS信息(例如不指向云服務提供商的MX記錄)、可能包含IP信息的文件、引用和證書信息。他們的CloudPiercer研究網站提供了一種掃描工具來為管理員部署各種方法，幫助他們了解其環境是否存在風險。

這種方法很重要的原因不僅在于大部分網站都容易受到攻擊，也因為這些方法很可能被精明的攻擊者利用。例如，在CloudPiercer網站的部署會查看PHP信息文件;然而，這些肯定不是唯一包含服務器IP地址的文件：備份文件或腳本也可能包含這些信息。

我們可以做些什么?

對于基于云的DDoS防護，受云計算保護的Web服務器的原始IP暴露可不是什么好事兒，這應該引起安全人員的關注。要緊的是，如果使用基于云的DDoS防護服務，他們可以怎么做來確保受到保護?對于正在評估DDoS緩解工具和戰略的企業，這會有什么影響?

對于已經在使用云服務作為其DDoS防護戰略一部分的企業，他們必須了解他們是否正在暴露這些信息，以及他們是否在采取措施來防止這些信息在今后被泄露。為了確定他們現在是否在泄露這些信息，第一步可以利用CloudPiercer研究團隊提供的免費的掃描器。但是，這個工具并沒有涵蓋其他方面，有些企業可能希望采取更全面的分析。例如，他們可能想要評估滲透測試是否可確保這些信息得到了真正的隱蔽。

在他們了解他們目前是否受到了影響后，他們可建立流程來確保這些信息在之后不會被泄露。對于不同的公司，可能會選擇不同的方法，但他們可以考慮定期掃描、檢索主機IP的內容變化，以及評估這些變化、針對該問題或其他適合環境的其他技術對開發人員進行教育。

對于正在評估基于云的DDoS防護工具及服務的企業，重要的是認識到這個問題的存在，并圍繞這個問題制定計劃。有些解決方案可能涉及構建上述程序來最大限度減少/防止信息泄露。這意味著基于設備的內部部署解決方案更加重要，因為我們可以預測挑戰，保持企業隱蔽性以及考慮在云中運行但利用BGP的服務，很多供應提供兩種選項。

企業應該認真思考這個問題，并將其融進安全規劃中，因為DDoS緩解非常重要，如果想從所購買的服務中獲取最大的價值，企業就需要認真理解和規劃這一問題。