云計算應對拒絕服務攻擊的四個教訓

　　隨著越來越多的公司開始使用虛擬化數據中心和云服務，企業基礎設施出現了新的弱點。與此同時，拒絕服務攻擊也開始由原來利用大量數據流進行暴力式攻擊轉變為針對基礎應用程序的技術性攻擊。

　　拒絕服務攻擊正對那些將重要業務數據放置在公司以外的公司構成越來越大的威脅，因為他們的業務依賴于持續的通訊。此外，隨著多租戶的普及，針對一個公司的攻擊可能會影響到另外一些雖然沒有聯系的，但也采用主機托管的公司的服務。

　　Frost & Sullivan公司信息安全研究部全球項目總監Rob Ayoub稱：“在部署云計算中，企業一直將安全性和可獲得性作為重中之重�？紤]到這些因素，托管和其他的數據中心管理人員必須具備在不中斷客戶服務的情況下緩解攻擊的能力。”

　　效果最明顯的攻擊仍然是發送大量的數據包，這將重創受害者的網絡，堵塞公司與上游服務提供商之間的連接。暴力式拒絕服務攻擊正在大幅增長，這導致互聯網基礎設施公司VeriSign在他們最新一期“域名行業簡報”(Domain Name Industry Brief)中對這一趨勢進行了評論。

　　VeriSign 公司首席技術官Ken Silva 稱：“分布式拒絕服務攻擊可能在我們信息中占一定比例。對于我們來說這是一個很小的問題，但是對于受害者來說這卻是一個重大問題。”

　　最佳的解決方案是抓獲攻擊者，但是由于全球僵尸網絡泛濫和大量的匿名代理導致這非常困難。不過專家表示，除此之外還是有一些其它的解決辦法。以下是四則關于DDoS攻擊的教訓。

　　1、發動DDoS攻擊很容易

　　過去，黑客發動拒絕服務攻擊通常是通過一個蠕蟲病毒。當蠕蟲病毒在整個系統中被清除后，黑客癱瘓整個網絡的能力也將隨之終止。

　　網絡保護服務公司Prolexic公司首席技術官Paul Sop稱，隨著極難根除的僵尸網絡的出現，以及向攻擊者出租這些僵尸網絡的營生的出現，犯罪分子可以隨意的用數據包淹沒受害者的網絡。并且堵塞單一的網絡連接變得更為容易，特別是在DDoS攻擊帶寬大幅增加后。

　　Sop稱：“人們不明白攻擊者怎么那么容易就可以的增加他們的帶寬以實施攻擊。”

　　統計信息顯示，在2005年，攻擊數量達到頂峰時的帶寬為3.5 Gbps。到了2006年，這一數值超過了10 Gbps，并且在很多情況下受到了互聯網骨干連接能力的限制。Arbor網絡的調查顯示，在2009年，帶寬超過10 Gbps的情況下發生了2700多起攻擊事件。

　　2、以特殊應用為目標

　　盡管目前拒絕服務攻擊的風險正在增大，過去這些攻擊主要將目標鎖定為公司基礎設施中的資源密集部分，但是現在關鍵服務器與服務成為了攻擊目標。攻擊者利用低帶寬對特殊應用進行攻擊即可癱瘓受害者的在線服務。

　　Prolexic公司的Sop舉例稱，濫用安全HTTP請求會導致公司服務器和路由器堵塞，大量的帳戶創建請求也會堵死許多應用。

　　他稱：“這些壞家伙在過去學會了如何用泰森的拳法暴打受害者，然而在過去三年里，我們發現這些家伙開始轉戰網絡，對網站進行攻擊。不過，真正的攻擊者攻擊的目標是應用自身。”

　　3、熟悉主機托管

　　在云計算中，公司需要擔心的不僅僅是對他們資源的攻擊，還需要擔心對主機托管租戶的攻擊。使用主機托管服務的公司必須確保設施獲得了充分的保護。物理服務器可以支持多個客戶的虛擬機，提供商采取不同的措施以確保虛擬機間的安全距離，為受管制行業中的客戶處理相關的管制問題。Sop稱：“這些提供商在共享平臺上托管著大量的客戶。”

　　盡管公司不太可能知道他們的鄰居是誰，但是審查他們租用的數據中心的防御措施是第一步。熟悉自己需要承擔哪些安全負責，托管提供商無需承擔哪些安全責任也是非常重要的。

　　4、用云計算幫助云計算

　　盡管云計算的普及正在為公司的基礎設施帶來一些新弱點，增加了公司與互聯網連接的重要性，但是云計算可以快速提供資源、匯聚重要領域內的專家的特點也可幫助緩解威脅。

　　Sop稱：“你能夠擁有世界上最好的數據中心，但是對于每個數據中心，你只能擁有不多的帶寬。”

　　相反，公司應當與帶寬即服務提供商簽訂合同，無論其服務是類似Akamai公司的內容分發網絡還是類似VeriSign公司那樣的純粹基礎設施服務。

　　Silva稱：“我認為，對于首席信息官來說能夠真正并且有效緩解拒絕服務攻擊的方法正是云計算，無論這個云是你自己創建的還是你購買的。”

　　Sop指出，每位數據中心管理人員需要吸收的教訓是，如果攻擊到達了連接互聯網的網絡連接，那么一切都為時已晚。他稱：“對于受害者來說，最糟糕的事情就是在家門口與攻擊者作戰。”

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]