云計算應對拒絕服務攻擊的四個教訓

隨著越來越多的公司開始使用虛擬化數據中心和云服務，企業(yè)基礎設施出現了新的弱點。與此同時，拒絕服務攻擊也開始由原來利用大量數據流進行暴力式攻擊轉變?yōu)獒槍A應用程序的技術性攻擊。拒絕服務攻擊正對那些將重要業(yè)務數據放置在公司以外的公司構成越來越大的威脅，因為他們的業(yè)務依賴于持續(xù)的通訊。此外，隨著多租戶的普及，針對一個公司的攻擊可能會影響到另外一些雖然沒有聯系的，但也采用主機托管的公司的服務。Frost&Sullivan公司信息安全研究部全球項目總監(jiān)RobAyoub稱：“在部署云計算中，企業(yè)一直將安全性和可獲得性作為重中之重?？紤]到這些因素，托管和其他的數據中心管理人員必須具備在不中斷客戶服務的情況下緩解攻擊的能力?！毙Ч蠲黠@的攻擊仍然是發(fā)送大量的數據包，這將重創(chuàng)受害者的網絡，堵塞公司與上游服務提供商之間的連接。暴力式拒絕服務攻擊正在大幅增長，這導致互聯網基礎設施公司VeriSign在他們最新一期“域名行業(yè)簡報”(DomainNameIndustryBrief)中對這一趨勢進行了評論。VeriSign公司首席技術官KenSilva稱：“分布式拒絕服務攻擊可能在我們信息中占一定比例。對于我們來說這是一個很小的問題，但是對于受害者來說這卻是一個重大問題?！弊罴训慕鉀Q方案是抓獲攻擊者，但是由于全球僵尸網絡泛濫和大量的匿名代理導致這非常困難。不過專家表示，除此之外還是有一些其它的解決辦法。以下是四則關于DDoS攻擊的教訓。1、發(fā)動DDoS攻擊很容易過去，黑客發(fā)動拒絕服務攻擊通常是通過一個蠕蟲病毒。當蠕蟲病毒在整個系統中被清除后，黑客癱瘓整個網絡的能力也將隨之終止。網絡保護服務公司Prolexic公司首席技術官PaulSop稱，隨著極難根除的僵尸網絡的出現，以及向攻擊者出租這些僵尸網絡的營生的出現，犯罪分子可以隨意的用數據包淹沒受害者的網絡。并且堵塞單一的網絡連接變得更為容易，特別是在DDoS攻擊帶寬大幅增加后。Sop稱：“人們不明白攻擊者怎么那么容易就可以的增加他們的帶寬以實施攻擊?！苯y計信息顯示，在2005年，攻擊數量達到頂峰時的帶寬為3.5Gbps。到了2006年，這一數值超過了10Gbps，并且在很多情況下受到了互聯網骨干連接能力的限制。Arbor網絡的調查顯示，在2009年，帶寬超過10Gbps的情況下發(fā)生了2700多起攻擊事件。2、以特殊應用為目標盡管目前拒絕服務攻擊的風險正在增大，過去這些攻擊主要將目標鎖定為公司基礎設施中的資源密集部分，但是現在關鍵服務器與服務成為了攻擊目標。攻擊者利用低帶寬對特殊應用進行攻擊即可癱瘓受害者的在線服務。Prolexic公司的Sop舉例稱，濫用安全HTTP請求會導致公司服務器和路由器堵塞，大量的帳戶創(chuàng)建請求也會堵死許多應用。他稱：“這些壞家伙在過去學會了如何用泰森的拳法暴打受害者，然而在過去三年里，我們發(fā)現這些家伙開始轉戰(zhàn)網絡，對網站進行攻擊。不過，真正的攻擊者攻擊的目標是應用自身?！?、熟悉主機托管在云計算中，公司需要擔心的不僅僅是對他們資源的攻擊，還需要擔心對主機托管租戶的攻擊。使用主機托管服務的公司必須確保設施獲得了充分的保護。物理服務器可以支持多個客戶的虛擬機，提供商采取不同的措施以確保虛擬機間的安全距離，為受管制行業(yè)中的客戶處理相關的管制問題。Sop稱：“這些提供商在共享平臺上托管著大量的客戶?！北M管公司不太可能知道他們的鄰居是誰，但是審查他們租用的數據中心的防御措施是第一步。熟悉自己需要承擔哪些安全負責，托管提供商無需承擔哪些安全責任也是非常重要的。4、用云計算幫助云計算盡管云計算的普及正在為公司的基礎設施帶來一些新弱點，增加了公司與互聯網連接的重要性，但是云計算可以快速提供資源、匯聚重要領域內的專家的特點也可幫助緩解威脅。Sop稱：“你能夠擁有世界上最好的數據中心，但是對于每個數據中心，你只能擁有不多的帶寬。”相反，公司應當與帶寬即服務提供商簽訂合同，無論其服務是類似Akamai公司的內容分發(fā)網絡還是類似