【11月3日51CTO外電頭條】拒絕服務(wù)攻擊這一古老的網(wǎng)絡(luò)犯罪在幾年再次成為了數(shù)據(jù)中心運(yùn)營(yíng)者們的心頭之患。

隨著公司越來(lái)越多地使用虛擬化數(shù)據(jù)中心和云服務(wù)，企業(yè)基礎(chǔ)架構(gòu)中新的薄弱環(huán)節(jié)也就漸漸浮出了水面。與此同時(shí)，拒絕服務(wù)攻擊正在把目標(biāo)從野蠻的數(shù)據(jù)洪潮中轉(zhuǎn)向?qū)?yīng)用基礎(chǔ)架構(gòu)更具技術(shù)性的攻擊。

對(duì)于把關(guān)鍵商業(yè)數(shù)據(jù)存儲(chǔ)在外部設(shè)備和業(yè)務(wù)依賴(lài)于持續(xù)通訊的企業(yè)而言，這樣的威脅日趨嚴(yán)重。另外，隨著多租戶(hù)服務(wù)的普及，拒絕服務(wù)已經(jīng)把攻勢(shì)瞄準(zhǔn)了那些可能對(duì)其它協(xié)同定位公司的服務(wù)產(chǎn)生重大影響的公司，即便兩者并處于同一行業(yè)。

"企業(yè)依然把安全和有效性列為接受云計(jì)算的頭等障礙，"Frost & Sullivan的信息安全研究全球項(xiàng)目經(jīng)理Rob Ayoub在一份聲明中稱(chēng)，"今天的主機(jī)和其他數(shù)據(jù)中心經(jīng)營(yíng)者必須有能力在不中斷對(duì)用戶(hù)服務(wù)的同時(shí)從容地應(yīng)對(duì)這些攻擊。"

最明顯的攻擊將繼續(xù)像數(shù)據(jù)的洪水一般侵襲受害者的網(wǎng)絡(luò)，干擾公司與其上游供應(yīng)商的聯(lián)系。網(wǎng)絡(luò)基礎(chǔ)架構(gòu)公司VeriSign（VRSN）在最新的域名行業(yè)簡(jiǎn)報(bào)中指出，暴力的拒絕服務(wù)攻擊的勢(shì)頭猛增，這些可以在迅速增加的域名查找中看出來(lái)。

分布式拒絕服務(wù)攻擊"可能會(huì)在我們的通信流量中占有幾個(gè)百分點(diǎn)，"VeriSign的首席技術(shù)官Ken Silva說(shuō)。"這對(duì)于我們而言不過(guò)是一個(gè)很小的污染問(wèn)題，但是對(duì)于受害者而言就很成問(wèn)題了。"

最好的解決辦法是追捕到攻擊者，可是在僵尸網(wǎng)絡(luò)和匿名代理的世界里，這又談何容易。不過(guò)，專(zhuān)家說(shuō)還是有辦法的。以下列出四個(gè)關(guān)于新舊世界中分布式拒絕服務(wù)攻擊（DDoS）的經(jīng)驗(yàn)之談，供大家借鑒。

1.分布式拒絕服務(wù)攻擊非常簡(jiǎn)單

過(guò)去，在分布式拒絕服務(wù)攻擊中的計(jì)算機(jī)一般會(huì)受到一個(gè)單一病毒的攻擊。當(dāng)病毒從足夠多的系統(tǒng)中清除出去，攻擊者就能夠繼續(xù)覆沒(méi)一個(gè)網(wǎng)絡(luò)。然而，隨著僵尸網(wǎng)絡(luò)的興起，還有將這些網(wǎng)絡(luò)租賃給攻擊者和犯罪分子，受害者的網(wǎng)絡(luò)安全就受到了嚴(yán)重的威脅。除此以外，僅僅控制一個(gè)網(wǎng)絡(luò)連接變得十分簡(jiǎn)單，特別是通過(guò)顯著增加帶寬進(jìn)行的分布式拒絕服務(wù)攻擊，Prolexic網(wǎng)絡(luò)防護(hù)服務(wù)首席技術(shù)官Paul Sop說(shuō)。

"人們不了解攻擊者用增加帶寬來(lái)?yè)魯∧阌卸嗝摧p而易舉，"Sop說(shuō)。

在2005年，受害者在受到攻擊時(shí)所監(jiān)測(cè)到的信息流量高達(dá)到3.5Gbps。在2006年，這個(gè)數(shù)字甚至超過(guò)了10Gbps，在很多情況下還受到網(wǎng)絡(luò)主干線能力的限制。在2009年，Arbor Networks監(jiān)測(cè)到有超過(guò)2700起襲擊事件中的信息流量超過(guò)10Gbps。

2.具體的應(yīng)用程序成為目標(biāo)

今天，拒絕服務(wù)攻擊的危險(xiǎn)越來(lái)越集中在公司基礎(chǔ)架構(gòu)中資源密集型的部分，之后使關(guān)鍵服務(wù)器和服務(wù)中斷。攻擊者使用低帶寬攻擊特定的應(yīng)用程序，以此來(lái)攻擊受害者的在線服務(wù)。

比如，濫用安全HTTP請(qǐng)求可能會(huì)讓公司的服務(wù)器和路由器癱瘓，或者開(kāi)放大量賬戶(hù)創(chuàng)建請(qǐng)求，以此來(lái)牽制很多應(yīng)用程序，Sop說(shuō)。

"這些人在過(guò)去學(xué)會(huì)了如何用泰森式的拳頭來(lái)?yè)魯∈芎φ?，但是在最近的三年里，我們也看到了很多人面?duì)這樣的攻擊如何做出漂亮的回應(yīng)，"他說(shuō)，"真正的攻擊者只攻擊應(yīng)用程序本身。"

3.了解主機(jī)代管的現(xiàn)實(shí)

在云中，公司不僅僅需要擔(dān)心針對(duì)他們資源的攻擊，而且需要留意他們協(xié)同定位的租戶(hù)。當(dāng)然，使用協(xié)同定位服務(wù)的公司必須確保他們的設(shè)備受到妥善的保護(hù)。物理服務(wù)器可能控制著大多用戶(hù)的虛擬機(jī)，供應(yīng)商也應(yīng)該采取不同的措施來(lái)確保虛擬機(jī)之間的安全。

"那些供應(yīng)商在共享平臺(tái)上托管很多客戶(hù)，"Sop說(shuō)。事實(shí)上，公司不太可能了解他們到底擁有怎樣的鄰居，所以審核他們數(shù)據(jù)中心房東的防御體系應(yīng)該是他們所做的第一步。了解你對(duì)于安全問(wèn)題所需要擔(dān)負(fù)的責(zé)任也非常重要，因?yàn)橛袝r(shí)候，這不屬于你的協(xié)同定位供應(yīng)商的職責(zé)范圍。

4.期待云來(lái)幫助云

雖然向云計(jì)算的運(yùn)動(dòng)已經(jīng)凸現(xiàn)了企業(yè)基礎(chǔ)架構(gòu)中的弱點(diǎn)，并且增加了公司連接到網(wǎng)絡(luò)的危險(xiǎn)性，但是，不可否認(rèn)，云計(jì)算能夠迅速提供資源并且能夠快速收集關(guān)鍵領(lǐng)域?qū)I(yè)信息的能力可以緩解這樣的威脅，Silva說(shuō)。

"你可以擁有世界上最棒的數(shù)據(jù)中心，但是你只能在每個(gè)數(shù)據(jù)中心里安置一定數(shù)量的帶寬，"他說(shuō)。

相反，公司應(yīng)該與一家?guī)捈捶?wù)的供應(yīng)商達(dá)成協(xié)議，無(wú)論是內(nèi)容分發(fā)網(wǎng)絡(luò)比如Akamai或者是像VeriSign提供的更為純粹的基礎(chǔ)架構(gòu)支持，他補(bǔ)充道。

"我認(rèn)為CIO們需要不斷地學(xué)習(xí)和汲取經(jīng)驗(yàn)教訓(xùn)才是在云中減少拒絕服務(wù)攻擊唯一真正的出路，不論這個(gè)云是幫你自己創(chuàng)建的還是你購(gòu)買(mǎi)的，"Silva說(shuō)。

對(duì)于每一個(gè)數(shù)據(jù)中心的運(yùn)營(yíng)者而言，真正的教訓(xùn)是，如果這樣的襲擊已經(jīng)干預(yù)了你的網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的聯(lián)系，那么，就太遲了。

"受害者所能做的最壞的打算就是在自己的家門(mén)口進(jìn)行防御之戰(zhàn)，"Sop說(shuō)。

【編輯推薦】

1. 剖析ZeuS木馬如何安全躲避僵尸網(wǎng)絡(luò)嗅偵
2. 對(duì)IIS Newdsn.exe 拒絕服務(wù)攻擊漏洞的詳細(xì)介紹
3. 新一波DDoS僵尸網(wǎng)絡(luò)攻擊來(lái)勢(shì)洶洶
4. “飛客蠕蟲(chóng)”形成全球最大僵尸網(wǎng)絡(luò) 每日感染數(shù)萬(wàn)網(wǎng)民