域名預(yù)訂/競價(jià)，好“米”不錯(cuò)過

當(dāng)前遭到云端DDoS攻擊已變得越來越普遍。在本文中，專家Frank Siemons將與企業(yè)分享有關(guān)該種攻擊方式所需要了解的信息以及如何防范。

隨著分布式拒絕服務(wù)攻擊的頻率和規(guī)模的不斷提升，云端服務(wù)供應(yīng)商可能會(huì)在帶寬爭奪戰(zhàn)中成為攻擊者們的更加關(guān)注的目標(biāo)。云服務(wù)供應(yīng)商(或稱之為CSP)的商業(yè)模式，包括為客戶提供高帶寬的互聯(lián)網(wǎng)連接能力的虛擬化實(shí)例。通過CSP直接或通過某一或多個(gè)客戶間接進(jìn)入帶寬資源池會(huì)很容易地造成惡意的DDoS拒絕服務(wù)，或稱為DDoS以及相關(guān)非法操作變得更加嚴(yán)重。這是否是威脅所在?還有企業(yè)如何使用云服務(wù)保護(hù)自己免受這樣的威脅?

最新進(jìn)展

在2012年，一群網(wǎng)絡(luò)罪犯利用VE-2014-3120 Elasticsearch 1.1.x漏洞，以及Linux DDoS Trojan Mayday等手段，攻陷了幾臺(tái)Amazon Elastic Cloud Compute的虛擬機(jī)。盡管這一漏洞并不只是針對基于云端的系統(tǒng)，同時(shí)可以用來對付包括非云端系統(tǒng)在內(nèi)的任意服務(wù)器，但確實(shí)為攻擊者提供了一些有意義的機(jī)會(huì)。他們能夠從攻陷的云端實(shí)例上運(yùn)行基于用戶數(shù)據(jù)報(bào)協(xié)議(User Datagram Protocol)的DDoS攻擊。攻擊者利用云服務(wù)供應(yīng)商亞馬遜的輸出帶寬，在這種情況下距離云服務(wù)供應(yīng)商提供的理想環(huán)境相去甚遠(yuǎn)。如果某一CSP的公共IP地址范圍與連接到云端的DDoS攻擊產(chǎn)生關(guān)聯(lián)，供應(yīng)商可以在黑名單或某一公司的防火墻黑名單登記上找到它。它的客戶將遭遇連接性問題并很可能導(dǎo)致服務(wù)停機(jī)。盡管主要供應(yīng)商們大面積受到影響的可能性很低，但這可能會(huì)對CSP及其客戶產(chǎn)生相當(dāng)嚴(yán)重的影響。

云端DDoS攻擊的風(fēng)險(xiǎn)

云服務(wù)供應(yīng)商在輸入流量的位置部署有平臺(tái)級的DDoS防護(hù)系統(tǒng)。他們還監(jiān)測DDoS流量的輸出流量，甚至可以關(guān)閉參與攻擊的主機(jī)系統(tǒng)。這樣在面臨云端DDoS攻擊時(shí)CSP顯得相對安全。然而，虛擬機(jī)的關(guān)停對其擁有者來說并非是所希望的結(jié)果，因?yàn)檫@會(huì)導(dǎo)致托管系統(tǒng)的中斷。這意味著不論是通過內(nèi)部管理還是通過第三方供應(yīng)商監(jiān)控，確保和監(jiān)控自己的基于云端主機(jī)運(yùn)行，是最符合客戶利益的辦法。云空間之外也還存在著其他的風(fēng)險(xiǎn)，如公共IP由于DDoS的關(guān)系被加入一處或多處黑名單。由于被外部的反惡意軟件產(chǎn)品所阻攔，這將導(dǎo)致電子郵件服務(wù)甚至是Web服務(wù)的損失。

發(fā)現(xiàn)并阻止云端DDoS攻擊

有許多安全方面的最佳實(shí)踐，特別是旨在降低被動(dòng)參與云端DDoS攻擊情況下的風(fēng)險(xiǎn)和影響。

任何云端客戶應(yīng)該有一個(gè)配置完好的、在其網(wǎng)絡(luò)邊界上的增強(qiáng)出口防火墻，這將防止由云服務(wù)供應(yīng)商采取的關(guān)機(jī)需求。例如，一旦每秒連接數(shù)達(dá)到閾值，出口過濾器會(huì)封鎖輸出的NTP流量或會(huì)阻止任何對外部web服務(wù)器的請求。這一防火墻也應(yīng)該被監(jiān)控。用防火墻阻止流量是一回事，而在內(nèi)部網(wǎng)絡(luò)中找到實(shí)際發(fā)生這種情況的原因則是另一回事。

引起DDoS流量的遺留在網(wǎng)絡(luò)中原因通常是在某一或多個(gè)系統(tǒng)中仍安裝有惡意軟件，使得感染的系統(tǒng)能夠連接到更大的全球性的僵尸網(wǎng)絡(luò)。這不僅導(dǎo)致了前文提到的種種與DDoS有關(guān)的問題，還使得僵尸網(wǎng)絡(luò)的控制者能夠掌控感染的系統(tǒng)，導(dǎo)致數(shù)據(jù)竊取、中斷，甚至還可能造成用數(shù)據(jù)勒索贖金的情況?；谥鳈C(jī)的高質(zhì)量惡意軟件檢測和預(yù)防工具對所有任何系統(tǒng)都是必備的。

專用的DDoS攻擊防護(hù)產(chǎn)品或第三方DDoS防護(hù)提供商也值得選用?？蛻艨梢龑?dǎo)所有輸入和輸出的流量途經(jīng)這些產(chǎn)品，從而從數(shù)據(jù)流中過濾掉與DDoS相關(guān)的有害流量。在選用第三方供應(yīng)商產(chǎn)品時(shí)，如果客戶在不知情的情況下參與到云DDoS攻擊中，CSP的輸出帶寬仍然會(huì)被消耗。在使用基于云的專用產(chǎn)品時(shí)，如果客戶是一個(gè)DDoS攻擊目標(biāo)，CSP的輸入帶寬仍然會(huì)被消耗。重要的是權(quán)衡哪種方法與環(huán)境最適應(yīng)。

綜上，配置良好的入侵檢測或預(yù)防系統(tǒng)能夠抓取可疑的或是惡意的流量。這也許不僅能夠探測到DDoS流量，同時(shí)也能首先發(fā)現(xiàn)和阻止惡意軟件、僵尸命令及控制流量，造就更加良好的環(huán)境。

結(jié)論

任何情況下被卷入DDoS攻擊都很糟糕，但如果實(shí)際系統(tǒng)托管在公共云環(huán)境，相關(guān)的風(fēng)險(xiǎn)似乎會(huì)更高。不僅因?yàn)樵贫薉DoS攻擊本身，而是因?yàn)樵诶碚撋希蛻粝到y(tǒng)可以被第三方機(jī)構(gòu)所關(guān)閉，同時(shí)高容量的輸出流量會(huì)造成大量成本。然而，如果采取正確的安全措施，這些風(fēng)險(xiǎn)大部分可以得到控制。當(dāng)上述風(fēng)險(xiǎn)可控，公司就可以更專注于輸入的DDoS攻擊的防護(hù)過程中去，而這則是個(gè)完全不同的問題。

文章來源：九河互聯(lián)——云端DDoS攻擊如何抵御()

申請創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！