應(yīng)用層的DDoS(拒絕服務(wù)攻擊)威脅對于數(shù)據(jù)中心運營商來說是更加的危險。因為IPS設(shè)備和防火墻的狀態(tài)檢測設(shè)計遇到這種新的攻擊手法會大量增加的狀態(tài)要求會變得更加脆弱，使得設(shè)備本身更容易被攻擊。此外，現(xiàn)行基于邊界網(wǎng)絡(luò)的防護措施如果想要利用云計算來解決DDoS攻擊，利用服務(wù)提供商的DDoS基礎(chǔ)設(shè)施或布署在受害者基礎(chǔ)設(shè)施上游的專用DDoS攻擊防護措施，都還有段很大的差距。

[[39930]] 

現(xiàn)行的解決方案無法好好利用在網(wǎng)絡(luò)上散布的運算能力，也無法協(xié)調(diào)上游設(shè)備在流量飽和前將它偏轉(zhuǎn)掉。沒有一個現(xiàn)成的解決方案可以同時運作在邊界網(wǎng)絡(luò)和云端中。

來看看這篇從infosecurity-magazine.com上的文章，Arbor Networks的產(chǎn)品主管 - Rakesh Shah談?wù)摻袢盏腄DoS攻擊，這篇發(fā)表在Cloud Security Alliance的文章的確值得一讀。

我從Arbor成立時就開始注意他們了，當我還在Exodus Communications的時侯，他們的原始創(chuàng)辦人曾經(jīng)來找過我，看看我們是否可以資助他們。當時，我很懷疑他們是否可以從網(wǎng)絡(luò)上拿到足夠的資料來做他們計劃中的事情。不過，我錯了。時代改變了。

Rakesh的這段話中有兩個重點。首先是過早的針對網(wǎng)站和DNS服務(wù)器的DDoS技術(shù)已經(jīng)...老了。它們依然有用，但是網(wǎng)絡(luò)供應(yīng)商對于如何防阻他們已經(jīng)做得越來越好。

當我還在Speedera Networks時，在Akamai收購我們之前，我們只被DDoS攻擊成功過一次，那次是我們的DNS服務(wù)器受到攻擊。我們難過地告訴客戶我們遭受攻擊而無法維持住他們的網(wǎng)絡(luò)流量。那個客戶轉(zhuǎn)移到了Akamai，結(jié)果在第二天又被同個DDoS攻擊成功，而這間記錄非常良好的公司就只有被DDoS攻擊成功過一次，因為他們有非常好的分布式架構(gòu)。今天你就沒再聽過類似的故事了。

攻擊HTTP的DDoS不會消失，但我們已經(jīng)越來越知道如何處理它們了?，F(xiàn)在，都是應(yīng)用層的DDoS攻擊了，它可以不停的耗掉后端的服務(wù)器，終究用完所有的云計算額度，結(jié)果受害者只能出選擇花錢將云計算額度加大，或是就讓應(yīng)用服務(wù)關(guān)閉。

以用量為基礎(chǔ)的計價方式并不總是好的，尤其是這些用量都是DDoS造成時!

Rakesh所提出來的第二個有趣的觀點是，DDoS攻擊防護方案并沒有用到網(wǎng)絡(luò)上散布的運算能力。所以能夠解決DDoS攻擊的終極方案就是使用網(wǎng)格云。如果有解決方案可以用上網(wǎng)絡(luò)巨量的運算能力，那么應(yīng)用層DDoS攻擊就會失敗。

畢竟，利用僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet來進行DDoS攻擊本身就是種網(wǎng)格云，有些僵尸網(wǎng)絡(luò)能運用的總和運算能力連Google或其他云端供應(yīng)商的集中式數(shù)據(jù)中心都相形見拙。

利用網(wǎng)格云來對抗使用網(wǎng)格云推動的DDoS攻擊不僅聰明，還很經(jīng)典。我期待可以看到一個真正的解決方案實現(xiàn)出來。

【編輯推薦】

1. 云安全ABC：云中的商業(yè)數(shù)據(jù)是否安全
2. 攻擊威脅促使云安全標準迅速確定建立
3. 云計算：標準尚未統(tǒng)一 盲目建設(shè)遍地開花
4. 云計算改變軟件業(yè)
5. 云計算時代下的移動設(shè)備安全初探