如何抵御云端DDoS攻击?

2016-12-28 15:51:50来源:云计算D1net 热度:

当前遭到云端DDoS攻击已变得越来越普遍。在本文中,专家Frank Siemons将与企业分享有关该种攻击方式所需要了解的信息以及如何防范。

随着分布式拒绝服务攻击的频率和规模的不断提升,云端服务供应商可能会在带宽争夺战中成为攻击者们的更加关注的目标。云服务供应商(或称之为CSP)的商业模式,包括为客户提供高带宽的互联网连接能力的虚拟化实例。通过CSP直接或通过某一或多个客户间接进入带宽资源池会很容易地造成恶意的DDoS拒绝服务,或称为DDoS以及相关非法操作变得更加严重。这是否是威胁所在?还有企业如何使用云服务保护自己免受这样的威胁?

最新进展

在2012年,一群网络罪犯利用VE-2014-3120 Elasticsearch 1.1.x漏洞,以及Linux DDoS Trojan Mayday等手段,攻陷了几台Amazon Elastic Cloud Compute的虚拟机。尽管这一漏洞并不只是针对基于云端的系统,同时可以用来对付包括非云端系统在内的任意服务器,但确实为攻击者提供了一些有意义的机会。他们能够从攻陷的云端实例上运行基于用户数据报协议(User Datagram Protocol)的DDoS攻击。攻击者利用云服务供应商亚马逊的输出带宽,在这种情况下距离云服务供应商提供的理想环境相去甚远。如果某一CSP的公共IP地址范围与连接到云端的DDoS攻击产生关联,供应商可以在黑名单或某一公司的防火墙黑名单登记上找到它。它的客户将遭遇连接性问题并很可能导致服务停机。尽管主要供应商们大面积受到影响的可能性很低,但这可能会对CSP及其客户产生相当严重的影响。

云端DDoS攻击的风险

云服务供应商在输入流量的位置部署有平台级的DDoS防护系统。他们还监测DDoS流量的输出流量,甚至可以关闭参与攻击的主机系统。这样在面临云端DDoS攻击时CSP显得相对安全。然而,虚拟机的关停对其拥有者来说并非是所希望的结果,因为这会导致托管系统的中断。这意味着不论是通过内部管理还是通过第三方供应商监控,确保和监控自己的基于云端主机运行,是最符合客户利益的办法。云空间之外也还存在着其他的风险,如公共IP由于DDoS的关系被加入一处或多处黑名单。由于被外部的反恶意软件产品所阻拦,这将导致电子邮件服务甚至是Web服务的损失。

发现并阻止云端DDoS攻击

有许多安全方面的最佳实践,特别是旨在降低被动参与云端DDoS攻击情况下的风险和影响。

任何云端客户应该有一个配置完好的、在其网络边界上的增强出口防火墙,这将防止由云服务供应商采取的关机需求。例如,一旦每秒连接数达到阈值,出口过滤器会封锁输出的NTP流量或会阻止任何对外部web服务器的请求。这一防火墙也应该被监控。用防火墙阻止流量是一回事,而在内部网络中找到实际发生这种情况的原因则是另一回事。

引起DDoS流量的遗留在网络中原因通常是在某一或多个系统中仍安装有恶意软件,使得感染的系统能够连接到更大的全球性的僵尸网络。这不仅导致了前文提到的种种与DDoS有关的问题,还使得僵尸网络的控制者能够掌控感染的系统,导致数据窃取、中断,甚至还可能造成用数据勒索赎金的情况。基于主机的高质量恶意软件检测和预防工具对所有任何系统都是必备的。

专用的DDoS攻击防护产品或第三方DDoS防护提供商也值得选用。客户可引导所有输入和输出的流量途经这些产品,从而从数据流中过滤掉与DDoS相关的有害流量。在选用第三方供应商产品时,如果客户在不知情的情况下参与到云DDoS攻击中,CSP的输出带宽仍然会被消耗。在使用基于云的专用产品时,如果客户是一个DDoS攻击目标,CSP的输入带宽仍然会被消耗。重要的是权衡哪种方法与环境最适应。

综上,配置良好的入侵检测或预防系统能够抓取可疑的或是恶意的流量。这也许不仅能够探测到DDoS流量,同时也能首先发现和阻止恶意软件、僵尸命令及控制流量,造就更加良好的环境。

结论

任何情况下被卷入DDoS攻击都很糟糕,但如果实际系统托管在公共云环境,相关的风险似乎会更高。不仅因为云端DDoS攻击本身,而是因为在理论上,客户系统可以被第三方机构所关闭,同时高容量的输出流量会造成大量成本。然而,如果采取正确的安全措施,这些风险大部分可以得到控制。当上述风险可控,公司就可以更专注于输入的DDoS攻击的防护过程中去,而这则是个完全不同的问题。

责任编辑:zhuchangxi

为您推荐

危机下的开源大势

经过多年的不断努力,开源软件已经完全有能力为饱受金融危机困扰的企业带来转机,应用开源软件成为企业在信息化建设中的一种有益尝试,尤其是在移动和云计算领域,开源成为了重要选择。全球性金融危机的深入影响,使得很多企业开始整合自己的IT基础设施,“复用”、“重用”在不同的应用场景被反复提及,企业寄希望于在自己已经搭建好的应用系统上做更多的事情。同时,成本投入的锐减,使得企业的信息化建设陷入了泥潭,很多企业的信息化建设被停滞或放缓。经济因素甚至成为了制约信息化建设继续向前的桎梏,企业开始将目光投向了一个存在多年但并未受到足够重视的领域,开始关注和了解源自开源社区开发模式的开源技术,涉及和应用为信息化建设

国际电信联盟成立新工作组制定云计算标准

新成立的小组被称为“云计算专项工作组”,旨在达成一个“全球性生态系统”,确保各个系统之间安全地交换信息。工作组将评估当前的各项标准,将来会推出新的标准。ITU认为,为节省部署基础架构费用,加快应用开发,将有越来越多的企业采用云计算。ITU电信标准主管马尔科姆·约翰逊(MalcolmJohnson)称:“云计算是信息与通信市场极具潜力的领域,有许多协议需要制定,许多标准需要推广,从而确保用户更好地管理数字资产。”约翰逊说:“新成立专项工作组的目的就是要让这一切变得更得更加清晰、明确。”

科博会展会精彩纷呈 自主创新低碳绿色唱主角

3D、三网融合、物联网、云计算、低碳经济等新产品、新技术、新概念,国家未来重点发展的新能源、新医药、信息通信、节能环保、高端制造业等战略性新兴产业的重大项目,成为本届展览会的新亮点。消费电子与信息技术展馆里,联想集团的乐Phone手机和绿色电脑、台湾华硕集团全球最小的绿能风扇吸引了刘淇的注意,他关切地询问产品的市场销售情况。北京南部制造业新区展示了未来产业发展规划,总面积达165平方公里的产业区力争2015年实现产值1万亿元,刘淇嘱咐区负责人抓紧招商引资,加快发展步伐。在中关村自主创新成果展馆,刘淇察看了时代凌宇公司的智能身份感知系列产品、威讯紫晶公司的地铁无线安防系统,详细了解这些物联网企业

杜百川:从国家战略高度看三网融合

2010年6月9日(第十六届)“上海电视节白玉兰国际广播影视技术论坛”(简称“IBTC2010”),于2010年6月9日在上海大宁福朋喜来登集团酒店(上海市共和新路1928号)隆重举行,DVBCN数字电视中文网作为直播媒体将对这次“IBTC2010”论坛进行全程播报。