【11月3日51CTO外电头条】拒绝服务攻击这一古老的网络犯罪在几年再次成为了数据中心运营者们的心头之患。
随着公司越来越多地使用虚拟化数据中心和云服务,企业基础架构中新的薄弱环节也就渐渐浮出了水面。与此同时,拒绝服务攻击正在把目标从野蛮的数据洪潮中转向对应用基础架构更具技术性的攻击。
对于把关键商业数据存储在外部设备和业务依赖于持续通讯的企业而言,这样的威胁日趋严重。另外,随着多租户服务的普及,拒绝服务已经把攻势瞄准了那些可能对其它协同定位公司的服务产生重大影响的公司,即便两者并处于同一行业。
"企业依然把安全和有效性列为接受云计算的头等障碍,"Frost & Sullivan的信息安全研究全球项目经理Rob Ayoub在一份声明中称,"今天的主机和其他数据中心经营者必须有能力在不中断对用户服务的同时从容地应对这些攻击。"
最明显的攻击将继续像数据的洪水一般侵袭受害者的网络,干扰公司与其上游供应商的联系。网络基础架构公司VeriSign(VRSN)在最新的域名行业简报中指出,暴力的拒绝服务攻击的势头猛增,这些可以在迅速增加的域名查找中看出来。
分布式拒绝服务攻击"可能会在我们的通信流量中占有几个百分点,"VeriSign的首席技术官Ken Silva说。"这对于我们而言不过是一个很小的污染问题,但是对于受害者而言就很成问题了。"
最好的解决办法是追捕到攻击者,可是在僵尸网络和匿名代理的世界里,这又谈何容易。不过,专家说还是有办法的。以下列出四个关于新旧世界中分布式拒绝服务攻击(DDoS)的经验之谈,供大家借鉴。
1.分布式拒绝服务攻击非常简单
过去,在分布式拒绝服务攻击中的计算机一般会受到一个单一病毒的攻击。当病毒从足够多的系统中清除出去,攻击者就能够继续覆没一个网络。然而,随着僵尸网络的兴起,还有将这些网络租赁给攻击者和犯罪分子,受害者的网络安全就受到了严重的威胁。除此以外,仅仅控制一个网络连接变得十分简单,特别是通过显著增加带宽进行的分布式拒绝服务攻击,Prolexic网络防护服务首席技术官Paul Sop说。
"人们不了解攻击者用增加带宽来击败你有多么轻而易举,"Sop说。
在2005年,受害者在受到攻击时所监测到的信息流量高达到3.5Gbps。在2006年,这个数字甚至超过了10Gbps,在很多情况下还受到网络主干线能力的限制。在2009年,Arbor Networks监测到有超过2700起袭击事件中的信息流量超过10Gbps。
2.具体的应用程序成为目标
今天,拒绝服务攻击的危险越来越集中在公司基础架构中资源密集型的部分,之后使关键服务器和服务中断。攻击者使用低带宽攻击特定的应用程序,以此来攻击受害者的在线服务。
比如,滥用安全HTTP请求可能会让公司的服务器和路由器瘫痪,或者开放大量账户创建请求,以此来牵制很多应用程序,Sop说。
"这些人在过去学会了如何用泰森式的拳头来击败受害者,但是在最近的三年里,我们也看到了很多人面对这样的攻击如何做出漂亮的回应,"他说,"真正的攻击者只攻击应用程序本身。"
3.了解主机代管的现实
在云中,公司不仅仅需要担心针对他们资源的攻击,而且需要留意他们协同定位的租户。当然,使用协同定位服务的公司必须确保他们的设备受到妥善的保护。物理服务器可能控制着大多用户的虚拟机,供应商也应该采取不同的措施来确保虚拟机之间的安全。
"那些供应商在共享平台上托管很多客户,"Sop说。事实上,公司不太可能了解他们到底拥有怎样的邻居,所以审核他们数据中心房东的防御体系应该是他们所做的第一步。了解你对于安全问题所需要担负的责任也非常重要,因为有时候,这不属于你的协同定位供应商的职责范围。
4.期待云来帮助云
虽然向云计算的运动已经凸现了企业基础架构中的弱点,并且增加了公司连接到网络的危险性,但是,不可否认,云计算能够迅速提供资源并且能够快速收集关键领域专业信息的能力可以缓解这样的威胁,Silva说。
"你可以拥有世界上最棒的数据中心,但是你只能在每个数据中心里安置一定数量的带宽,"他说。
相反,公司应该与一家带宽即服务的供应商达成协议,无论是内容分发网络比如Akamai或者是像VeriSign提供的更为纯粹的基础架构支持,他补充道。
"我认为CIO们需要不断地学习和汲取经验教训才是在云中减少拒绝服务攻击唯一真正的出路,不论这个云是帮你自己创建的还是你购买的,"Silva说。
对于每一个数据中心的运营者而言,真正的教训是,如果这样的袭击已经干预了你的网络与互联网之间的联系,那么,就太迟了。
"受害者所能做的最坏的打算就是在自己的家门口进行防御之战,"Sop说。
【编辑推荐】