当DDoS遇到云计算

拒绝服务式攻击这种老式的网络犯罪在沉默多时后，又成为了数据中心运营商新的心头大患。

随着越来越多的公司使用虚拟化数据中心和云服务，企业基础设施中的新弱点也就暴露了出来。与此同时，拒绝服务式攻击正在从数据暴力泛滥方式转向更为诡计多端的方式——向应用基础设施发起攻击。

对于那些将关键商业数据放在自身设施之外的企业，这种组合构成的威胁将会越来越大，因为这些企业的业务对不间断通信的依赖程度很高。此外，随着多租户服务越来越普遍，瞄准一家公司的攻击活动可能会对毫不相干，但共同使用同一数据中心的其他企业造成巨大的影响。

Frost & Sullivan信息安全研究全球项目主任Rob Ayoub在一份声明中指出：“企业仍然认为安全性和可用性是其采用云计算道路上的最大障碍。鉴于企业有这方面的担忧，今天的主机和其他数据中心运营商必须具备避免此类攻击的能力，同时还不能对面向客户的服务造成干扰。”

这些最明显的攻击仍在继续源源不断地向受害者的网络发送数据，将企业与其上游服务商之间的连接完全淹没。从域名查询数量的增长就可以看出，暴力拒绝服务式攻击也在不断增长，Internet基础设施公司VeriSign在其“域名行业简报”中对这方面的趋势做出了重新评估。

VeriSign首席技术官Ken Silva说，分布式拒绝服务攻击“可能只占我们所有流量中的百分之几。这对于我们来说是个轻微污染的小问题，但对于受害者来说就是非常严重的大问题。”

最好的解决办法就是顺藤摸瓜挖出攻击者，在目前僵尸网络和匿名代理泛滥的情况下，要想做到这一点非常困难。然而，专家认为还有其他的办法。以下便是我们在面对新旧两代分布式拒绝服务攻击(DDoS)时得到的四个教训。

DDoS 攻击日益简单

过去，被用于分布式拒绝服务攻击的计算机通常都受到了单个蠕虫的感染。当在足够多的系统上清除这些蠕虫后，攻击者继续对网络发动攻击的能力便告终结。

然而，网络保护服务商Prolexic公司首席技术官Paul Sop指出，随着长效僵尸网络的不断出现，以及这些僵尸网络被大量出租给攻击者，犯罪分子可以随心所欲地向受害者的网络发起洪水般的攻击。此外，淹没单个网络连接也变得更加容易，尤其是在DdoS攻击带宽大幅增长的条件下。

Sop说：“攻击者现在可以非常容易地提高带宽来向你发起攻击，对此很多人还都不了解。”

2005年，受害者遭受攻击时遇到的峰值流量是3.5 Gbps。2006年，这一数字已经超过10 Gbps，Internet骨干网连接能力在很多情况下成了惟一的限制因素。2009年，Arbor Networks探测到2700多次超过10 Gbps的攻击。

具体应用成为攻击目标

然而，今天针对企业基础设施中资源密集型部分的拒绝服务攻击威胁正在与日俱增，其目的就是将这些关键的服务器和服务彻底淹没。攻击者会使用针对具体应用的低带宽攻击来攻击受害者的在线服务。

Prolexic公司的Sop说，例如，滥用加密HTTP请求可能淹没企业的服务器和路由器，或者打开众多的账户创建请求，使多种应用挂起，从而形成另外一种攻击。

他说：“过去，这些家伙击倒受害者时使用的是泰森式的重拳，但现在，很多攻击者只需要在关键部位打击网站就可以轻松将其打倒。真正的攻击者会向应用本身发起攻击。”

了解同一数据中心的情况

在云中，企业要担心的不仅是其资源受到的攻击，还要担心同处一地的其他租户所受的攻击。如果一家企业与其他用户分享服务，当然就必须确保所用的设施具备了充足的保护。物理服务器可以容纳多个客户的虚拟机，而且服务商在确保虚拟机之间的安全空间，以及处理受监管行业法规一致性问题时会采取不同的方法。(责任编辑：admin)