当DDoS遇到云计算
2010-11-19 网界网 编辑:柴莎莎 译
拒绝服务式攻击这种老式的网络犯罪在沉默多时后,又成为了数据中心运营商新的心头大患。
随着越来越多的公司使用虚拟化数据中心和云服务,企业基础设施中的新弱点也就暴露了出来。与此同时,拒绝服务式攻击正在从数据暴力泛滥方式转向更为诡计多端的方式——向应用基础设施发起攻击。
对于那些将关键商业数据放在自身设施之外的企业,这种组合构成的威胁将会越来越大,因为这些企业的业务对不间断通信的依赖程度很高。此外,随着多租户服务越来越普遍,瞄准一家公司的攻击活动可能会对毫不相干,但共同使用同一数据中心的其他企业造成巨大的影响。
Frost & Sullivan信息安全研究全球项目主任Rob Ayoub在一份声明中指出:“企业仍然认为安全性和可用性是其采用云计算道路上的最大障碍。鉴于企业有这方面的担忧,今天的主机和其他数据中心运营商必须具备避免此类攻击的能力,同时还不能对面向客户的服务造成干扰。”
这些最明显的攻击仍在继续源源不断地向受害者的网络发送数据,将企业与其上游服务商之间的连接完全淹没。从域名查询数量的增长就可以看出,暴力拒绝服务式攻击也在不断增长,Internet基础设施公司VeriSign在其“域名行业简报”中对这方面的趋势做出了重新评估。
VeriSign首席技术官Ken Silva说,分布式拒绝服务攻击“可能只占我们所有流量中的百分之几。这对于我们来说是个轻微污染的小问题,但对于受害者来说就是非常严重的大问题。”
最好的解决办法就是顺藤摸瓜挖出攻击者,在目前僵尸网络和匿名代理泛滥的情况下,要想做到这一点非常困难。然而,专家认为还有其他的办法。以下便是我们在面对新旧两代分布式拒绝服务攻击(DDoS)时得到的四个教训。
DDoS 攻击日益简单
过去,被用于分布式拒绝服务攻击的计算机通常都受到了单个蠕虫的感染。当在足够多的系统上清除这些蠕虫后,攻击者继续对网络发动攻击的能力便告终结。
然而,网络保护服务商Prolexic公司首席技术官Paul Sop指出,随着长效僵尸网络的不断出现,以及这些僵尸网络被大量出租给攻击者,犯罪分子可以随心所欲地向受害者的网络发起洪水般的攻击。此外,淹没单个网络连接也变得更加容易,尤其是在DdoS攻击带宽大幅增长的条件下。
Sop说:“攻击者现在可以非常容易地提高带宽来向你发起攻击,对此很多人还都不了解。”
2005年,受害者遭受攻击时遇到的峰值流量是3.5 Gbps。2006年,这一数字已经超过10 Gbps,Internet骨干网连接能力在很多情况下成了惟一的限制因素。2009年,Arbor Networks探测到2700多次超过10 Gbps的攻击。
具体应用成为攻击目标
然而,今天针对企业基础设施中资源密集型部分的拒绝服务攻击威胁正在与日俱增,其目的就是将这些关键的服务器和服务彻底淹没。攻击者会使用针对具体应用的低带宽攻击来攻击受害者的在线服务。
Prolexic公司的Sop说,例如,滥用加密HTTP请求可能淹没企业的服务器和路由器,或者打开众多的账户创建请求,使多种应用挂起,从而形成另外一种攻击。
他说:“过去,这些家伙击倒受害者时使用的是泰森式的重拳,但现在,很多攻击者只需要在关键部位打击网站就可以轻松将其打倒。真正的攻击者会向应用本身发起攻击。”
了解同一数据中心的情况
在云中,企业要担心的不仅是其资源受到的攻击,还要担心同处一地的其他租户所受的攻击。如果一家企业与其他用户分享服务,当然就必须确保所用的设施具备了充足的保护。物理服务器可以容纳多个客户的虚拟机,而且服务商在确保虚拟机之间的安全空间,以及处理受监管行业法规一致性问题时会采取不同的方法。
Sop说:“这些服务商要通过共享式平台为许多客户提供主机服务。”
虽然企业不太可能知道自己的“虚拟”邻居是谁,但必须首先要核实数据中心服务商的防御能力。另外,还要了解自己需要在安全方面承担哪些责任,而不是将所有的责任都推到服务商的身上,这一点至关重要。
让云来帮助云
Silva说,虽然向云计算的移植过程在商业基础设施中暴露出许多弱点,提高了企业对Internet连接的依赖程度,但云计算迅速供应资源并在关键领域收集专业知识的能力将有助于有效规避这一威胁。
他说:“您或许拥有世界上最好的数据中心,但只能为它提供与数据中心需求相适应的带宽。”
他说,相反的,企业应当与带宽即服务供应商建立联系,无论它是Akamai之类的内容发布网络,还是VeriSign这样的纯基础设施服务商都行。
Silva说:“我认为这些首席信息官获得的教训是,真正能够避免拒绝服务攻击的正确方法在云中,包括您自己创建的云和花钱购买的云。”
Prolexic公司的Sop说,每家数据中心运营商应当吸取的教训是,如果攻击到达了您与Internet之间的网络连接,那就已经为时太晚了。Sop表示:“受害者面临的最糟糕的事情就是,在自家的门口与敌人作战。”
表格:DDoS遇到云计算的四个教训:
发动DDoS攻击日益简单化:随着长效僵尸网络的不断出现,以及这些僵尸网络被大量出租给攻击者,犯罪分子可以随心所欲地向受害者的网络发起洪水般的攻击。
具体应用成为攻击目标:攻击者会使用针对具体应用的低带宽攻击来攻击受害者的在线服务。例如,滥用加密HTTP请求可能淹没企业的服务器和路由器等。
了解同一数据中心的情况:虽然企业不太可能知道自己的邻居是谁,但首先核实数据中心服务商的防御能力。另外,还要了解您自己需要在安全方面承担哪些责任,而不是将所有的责任都推到服务商的身上,这一点至关重要。
让云来帮助云:云计算迅速供应资源并在关键领域收集专业知识的能力将有助于有效规避数据中心在向云迁移中遇到的威胁。