【11月3日51CTO外電頭條】拒絕服務(wù)攻擊這一古老的網(wǎng)絡(luò)犯罪在幾年再次成為了數(shù)據(jù)中心運(yùn)營者們的心頭之患。

隨著公司越來越多地使用虛擬化數(shù)據(jù)中心和云服務(wù)，企業(yè)基礎(chǔ)架構(gòu)中新的薄弱環(huán)節(jié)也就漸漸浮出了水面。與此同時，拒絕服務(wù)攻擊正在把目標(biāo)從野蠻的數(shù)據(jù)洪潮中轉(zhuǎn)向?qū)?yīng)用基礎(chǔ)架構(gòu)更具技術(shù)性的攻擊。

對于把關(guān)鍵商業(yè)數(shù)據(jù)存儲在外部設(shè)備和業(yè)務(wù)依賴于持續(xù)通訊的企業(yè)而言，這樣的威脅日趨嚴(yán)重。另外，隨著多租戶服務(wù)的普及，拒絕服務(wù)已經(jīng)把攻勢瞄準(zhǔn)了那些可能對其它協(xié)同定位公司的服務(wù)產(chǎn)生重大影響的公司，即便兩者并處于同一行業(yè)。

"企業(yè)依然把安全和有效性列為接受云計算的頭等障礙，"Frost & Sullivan的信息安全研究全球項(xiàng)目經(jīng)理Rob Ayoub在一份聲明中稱，"今天的主機(jī)和其他數(shù)據(jù)中心經(jīng)營者必須有能力在不中斷對用戶服務(wù)的同時從容地應(yīng)對這些攻擊。"

最明顯的攻擊將繼續(xù)像數(shù)據(jù)的洪水一般侵襲受害者的網(wǎng)絡(luò)，干擾公司與其上游供應(yīng)商的聯(lián)系。網(wǎng)絡(luò)基礎(chǔ)架構(gòu)公司VeriSign（VRSN）在最新的域名行業(yè)簡報中指出，暴力的拒絕服務(wù)攻擊的勢頭猛增，這些可以在迅速增加的域名查找中看出來。

分布式拒絕服務(wù)攻擊"可能會在我們的通信流量中占有幾個百分點(diǎn)，"VeriSign的首席技術(shù)官Ken Silva說。"這對于我們而言不過是一個很小的污染問題，但是對于受害者而言就很成問題了。"

最好的解決辦法是追捕到攻擊者，可是在僵尸網(wǎng)絡(luò)和匿名代理的世界里，這又談何容易。不過，專家說還是有辦法的。以下列出四個關(guān)于新舊世界中分布式拒絕服務(wù)攻擊（DDoS）的經(jīng)驗(yàn)之談，供大家借鑒。

1.分布式拒絕服務(wù)攻擊非常簡單

過去，在分布式拒絕服務(wù)攻擊中的計算機(jī)一般會受到一個單一病毒的攻擊。當(dāng)病毒從足夠多的系統(tǒng)中清除出去，攻擊者就能夠繼續(xù)覆沒一個網(wǎng)絡(luò)。然而，隨著僵尸網(wǎng)絡(luò)的興起，還有將這些網(wǎng)絡(luò)租賃給攻擊者和犯罪分子，受害者的網(wǎng)絡(luò)安全就受到了嚴(yán)重的威脅。除此以外，僅僅控制一個網(wǎng)絡(luò)連接變得十分簡單，特別是通過顯著增加帶寬進(jìn)行的分布式拒絕服務(wù)攻擊，Prolexic網(wǎng)絡(luò)防護(hù)服務(wù)首席技術(shù)官Paul Sop說。

"人們不了解攻擊者用增加帶寬來擊敗你有多么輕而易舉，"Sop說。

在2005年，受害者在受到攻擊時所監(jiān)測到的信息流量高達(dá)到3.5Gbps。在2006年，這個數(shù)字甚至超過了10Gbps，在很多情況下還受到網(wǎng)絡(luò)主干線能力的限制。在2009年，Arbor Networks監(jiān)測到有超過2700起襲擊事件中的信息流量超過10Gbps。

2.具體的應(yīng)用程序成為目標(biāo)

今天，拒絕服務(wù)攻擊的危險越來越集中在公司基礎(chǔ)架構(gòu)中資源密集型的部分，之后使關(guān)鍵服務(wù)器和服務(wù)中斷。攻擊者使用低帶寬攻擊特定的應(yīng)用程序，以此來攻擊受害者的在線服務(wù)。

比如，濫用安全HTTP請求可能會讓公司的服務(wù)器和路由器癱瘓，或者開放大量賬戶創(chuàng)建請求，以此來牽制很多應(yīng)用程序，Sop說。

"這些人在過去學(xué)會了如何用泰森式的拳頭來擊敗受害者，但是在最近的三年里，我們也看到了很多人面對這樣的攻擊如何做出漂亮的回應(yīng)，"他說，"真正的攻擊者只攻擊應(yīng)用程序本身。"

3.了解主機(jī)代管的現(xiàn)實(shí)

在云中，公司不僅僅需要擔(dān)心針對他們資源的攻擊，而且需要留意他們協(xié)同定位的租戶。當(dāng)然，使用協(xié)同定位服務(wù)的公司必須確保他們的設(shè)備受到妥善的保護(hù)。物理服務(wù)器可能控制著大多用戶的虛擬機(jī)，供應(yīng)商也應(yīng)該采取不同的措施來確保虛擬機(jī)之間的安全。

"那些供應(yīng)商在共享平臺上托管很多客戶，"Sop說。事實(shí)上，公司不太可能了解他們到底擁有怎樣的鄰居，所以審核他們數(shù)據(jù)中心房東的防御體系應(yīng)該是他們所做的第一步。了解你對于安全問題所需要擔(dān)負(fù)的責(zé)任也非常重要，因?yàn)橛袝r候，這不屬于你的協(xié)同定位供應(yīng)商的職責(zé)范圍。

4.期待云來幫助云

雖然向云計算的運(yùn)動已經(jīng)凸現(xiàn)了企業(yè)基礎(chǔ)架構(gòu)中的弱點(diǎn)，并且增加了公司連接到網(wǎng)絡(luò)的危險性，但是，不可否認(rèn)，云計算能夠迅速提供資源并且能夠快速收集關(guān)鍵領(lǐng)域?qū)I(yè)信息的能力可以緩解這樣的威脅，Silva說。

"你可以擁有世界上最棒的數(shù)據(jù)中心，但是你只能在每個數(shù)據(jù)中心里安置一定數(shù)量的帶寬，"他說。

相反，公司應(yīng)該與一家?guī)捈捶?wù)的供應(yīng)商達(dá)成協(xié)議，無論是內(nèi)容分發(fā)網(wǎng)絡(luò)比如Akamai或者是像VeriSign提供的更為純粹的基礎(chǔ)架構(gòu)支持，他補(bǔ)充道。

"我認(rèn)為CIO們需要不斷地學(xué)習(xí)和汲取經(jīng)驗(yàn)教訓(xùn)才是在云中減少拒絕服務(wù)攻擊唯一真正的出路，不論這個云是幫你自己創(chuàng)建的還是你購買的，"Silva說。

對于每一個數(shù)據(jù)中心的運(yùn)營者而言，真正的教訓(xùn)是，如果這樣的襲擊已經(jīng)干預(yù)了你的網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的聯(lián)系，那么，就太遲了。

"受害者所能做的最壞的打算就是在自己的家門口進(jìn)行防御之戰(zhàn)，"Sop說。

【編輯推薦】

1. 剖析ZeuS木馬如何安全躲避僵尸網(wǎng)絡(luò)嗅偵
2. 對IIS Newdsn.exe 拒絕服務(wù)攻擊漏洞的詳細(xì)介紹
3. 新一波DDoS僵尸網(wǎng)絡(luò)攻擊來勢洶洶
4. “飛客蠕蟲”形成全球最大僵尸網(wǎng)絡(luò) 每日感染數(shù)萬網(wǎng)民