云计算应对拒绝服务攻击的四个教训
2011-02-24 ZDNET安全频道
拒绝服务攻击这种老套的网络犯罪如今成为了数据中心管理人员所需面临的新威胁。
随着越来越多的公司开始使用虚拟化数据中心和云服务,企业基础设施出现了新的弱点。与此同时,拒绝服务攻击也开始由原来利用大量数据流进行暴力式攻击转变为针对基础应用程序的技术性攻击。
拒绝服务攻击正对那些将重要业务数据放置在公司以外的公司构成越来越大的威胁,因为他们的业务依赖于持续的通讯。此外,随着多租户的普及,针对一个公司的攻击可能会影响到另外一些虽然没有联系的,但也采用主机托管的公司的服务。
Frost&Sullivan公司信息安全研究部全球项目总监RobAyoub称:“在部署云计算中,企业一直将安全性和可获得性作为重中之重。考虑到这些因素,托管和其他的数据中心管理人员必须具备在不中断客户服务的情况下缓解攻击的能力。”
效果最明显的攻击仍然是发送大量的数据包,这将重创受害者的网络,堵塞公司与上游服务提供商之间的连接。暴力式拒绝服务攻击正在大幅增长,这导致互联网基础设施公司VeriSign在他们最新一期“域名行业简报”(DomainNameIndustryBrief)中对这一趋势进行了评论。
VeriSign公司首席技术官KenSilva称:“分布式拒绝服务攻击可能在我们信息中占一定比例。对于我们来说这是一个很小的问题,但是对于受害者来说这却是一个重大问题。”
最佳的解决方案是抓获攻击者,但是由于全球僵尸网络泛滥和大量的匿名代理导致这非常困难。不过专家表示,除此之外还是有一些其它的解决办法。以下是四则关于DDoS攻击的教训。
1、发动DDoS攻击很容易
过去,黑客发动拒绝服务攻击通常是通过一个蠕虫病毒。当蠕虫病毒在整个系统中被清除后,黑客瘫痪整个网络的能力也将随之终止。
网络保护服务公司Prolexic公司首席技术官PaulSop称,随着极难根除的僵尸网络的出现,以及向攻击者出租这些僵尸网络的营生的出现,犯罪分子可以随意的用数据包淹没受害者的网络。并且堵塞单一的网络连接变得更为容易,特别是在DDoS攻击带宽大幅增加后。
Sop称:“人们不明白攻击者怎么那么容易就可以的增加他们的带宽以实施攻击。”
统计信息显示,在2005年,攻击数量达到顶峰时的带宽为3.5Gbps。到了2006年,这一数值超过了10Gbps,并且在很多情况下受到了互联网骨干连接能力的限制。Arbor网络的调查显示,在2009年,带宽超过10Gbps的情况下发生了2700多起攻击事件。
2、以特殊应用为目标
尽管目前拒绝服务攻击的风险正在增大,过去这些攻击主要将目标锁定为公司基础设施中的资源密集部分,但是现在关键服务器与服务成为了攻击目标。攻击者利用低带宽对特殊应用进行攻击即可瘫痪受害者的在线服务。
Prolexic公司的Sop举例称,滥用安全HTTP请求会导致公司服务器和路由器堵塞,大量的帐户创建请求也会堵死许多应用。
他称:“这些坏家伙在过去学会了如何用泰森的拳法暴打受害者,然而在过去三年里,我们发现这些家伙开始转战网络,对网站进行攻击。不过,真正的攻击者攻击的目标是应用自身。”
3、熟悉主机托管
在云计算中,公司需要担心的不仅仅是对他们资源的攻击,还需要担心对主机托管租户的攻击。使用主机托管服务的公司必须确保设施获得了充分的保护。物理服务器可以支持多个客户的虚拟机,提供商采取不同的措施以确保虚拟机间的安全距离,为受管制行业中的客户处理相关的管制问题。Sop称:“这些提供商在共享平台上托管着大量的客户。”
尽管公司不太可能知道他们的邻居是谁,但是审查他们租用的数据中心的防御措施是第一步。熟悉自己需要承担哪些安全负责,托管提供商无需承担哪些安全责任也是非常重要的。
4、用云计算帮助云计算
尽管云计算的普及正在为公司的基础设施带来一些新弱点,增加了公司与互联网连接的重要性,但是云计算可以快速提供资源、汇聚重要领域内的专家的特点也可帮助缓解威胁。
Sop称:“你能够拥有世界上最好的数据中心,但是对于每个数据中心,你只能拥有不多的带宽。”
相反,公司应当与带宽即服务提供商签订合同,无论其服务是类似Akamai公司的内容分发网络还是类似VeriSign公司那样的纯粹基础设施服务。
Silva称:“我认为,对于首席信息官来说能够真正并且有效缓解拒绝服务攻击的方法正是云计算,无论这个云是你自己创建的还是你购买的。”
Sop指出,每位数据中心管理人员需要吸收的教训是,如果攻击到达了连接互联网的网络连接,那么一切都为时已晚。他称:“对于受害者来说,最糟糕的事情就是在家门口与攻击者作战。”