Arbor專家：淺談防御DDoS對數(shù)據(jù)中心攻擊

2013-10-23 15:36:49 eNet硅谷動力　點擊量：評論 (0)

Arbor Networks公司的Darren Anstee詳細介紹了越來越嚴重的分布式拒絕服務(DDoS)威脅，并且建議數(shù)據(jù)中心的管理人員如何著手構(gòu)建一種采用多層次防御的解決方案，以應對DDoS威脅。　　防火墻在失去功效。這

Arbor Networks公司的Darren Anstee詳細介紹了越來越嚴重的分布式拒絕服務(DDoS)威脅，并且建議數(shù)據(jù)中心的管理人員如何著手構(gòu)建一種采用多層次防御的解決方案，以應對DDoS威脅。

　　防火墻在失去功效。這是獨立安全測試機構(gòu)NSS Labs的一項近期調(diào)查得出的結(jié)論。調(diào)查發(fā)現(xiàn)，六款防火墻產(chǎn)品在接受穩(wěn)定性測試時，有三款未能發(fā)揮正常功效。測試的這些防火墻就包括業(yè)界巨頭的產(chǎn)品。

　　由于防火墻一貫是確保邊界安全的公認基礎，這些測試結(jié)果對于數(shù)據(jù)中心的管理人員來說特別讓人震驚，要考慮到這一點：他們在服務可用性上面臨的威脅比以前任何時候都要來得嚴重、普遍。

　　比如說，Arbor Networks公司的《全球基礎設施安全報告》表明，源自僵尸網(wǎng)絡的容量耗盡攻擊和應用層分布式拒絕服務(DDoS)攻擊仍然是網(wǎng)絡運營人員在將來面臨的最重大的威脅。

　　越來越嚴重的DDoS威脅　　DDoS攻擊可以分為三類：容量耗盡攻擊(volumetricattack)，這種攻擊企圖耗盡轉(zhuǎn)發(fā)或鏈接容量;狀態(tài)表耗盡攻擊(state-exhaustion attacks)，這種攻擊企圖耗盡基礎設施和服務器里面的狀態(tài)表;以及應用層攻擊，這種攻擊企圖耗盡應用層資源。在所有這些攻擊中，攻擊者都是企圖阻止真正的用戶訪問某個特定的網(wǎng)絡、服務和應用程序。

　　雖然DDoS攻擊存在的歷史已超過了十年，但DDoS直到2010年12月才引起主流媒體的注意，當時它們摧垮了維基解密網(wǎng)站。隨后，同情維基解密網(wǎng)站的人針對包括萬士達卡(Mastercard)、貝寶(PayPal)、維薩(Visa)及其他知名機構(gòu)在內(nèi)的諸多目標發(fā)動了反攻。

　　據(jù)Arbor Networks公司發(fā)布的《全球基礎設施安全報告》顯示，耗盡資源容量的DDoS攻擊在2010年首次突破100Gbps大關。簡而言之，DDoS攻擊消耗的資源變得多了許多。報告還披露，可能也是更讓人擔憂的是，針對數(shù)據(jù)中心的應用層DDoS攻擊越來越頻繁、越來越高明，給數(shù)據(jù)中心運營造成的影響也越來越大。

　　這種攻擊給數(shù)據(jù)中心帶來了怎樣的影響？　　該報告披露了互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)運營人員的發(fā)現(xiàn)結(jié)果;他們聲稱，應用層DDoS攻擊導致了長時間的停運，增加了運營開支(OPEX)、客戶流失和收入損失。接受《全球基礎設施安全報告》調(diào)查的對象中絕大多數(shù)(77%)發(fā)現(xiàn)過應用層攻擊，而近一半(49%)遇到過防火墻或入侵防御系統(tǒng)(IPS)因DDoS攻擊而失靈的情況。

　　盡管IPS、防火墻及其他安全產(chǎn)品是多層次防御戰(zhàn)略的必要組成部分，但它們解決不了DDoS問題。防火墻和IPS的目的在于保護網(wǎng)絡邊界，以防被滲透、被攻破，并且是企業(yè)機構(gòu)安全架構(gòu)中的策略執(zhí)行點。它們利用狀態(tài)流量檢查技術(shù)來執(zhí)行網(wǎng)絡策略、確保完整性。

　　遺憾的是，防火墻或IPS所能維護的狀態(tài)卻是有限的--攻擊者也知道這一點;所以當設備里面的資源被耗盡后，可能造成的結(jié)果是流量丟失、設備被鎖死以及可能崩潰。

　　對于數(shù)據(jù)中心的運營人員來說，應用層DDoS也是一大威脅，因為數(shù)據(jù)中心無異于有好多目標可以下手的環(huán)境。防火墻和IPS一般無法檢測或阻止應用層DDoS攻擊，因而這時需要其他替代的解決方案。

　　怎樣才能減小風險？　　作為一個最佳實踐，多層次防御已得到了安全行業(yè)的接受和認可;為了應對日益猖獗的DDoS威脅，需要同樣這種方法。互聯(lián)網(wǎng)服務提供商/管理安全服務提供商(ISP/MSSP)必須阻止容量耗盡攻擊和大規(guī)模的狀態(tài)表耗盡攻擊，但是發(fā)現(xiàn)應用層DDoS攻擊的工作一般需要在ISP的邊緣或者數(shù)據(jù)中心內(nèi)部來完成。那是由于，要發(fā)現(xiàn)應用層DDoS攻擊比較困難，這種攻擊常常不會被為了監(jiān)測承載幾十或幾百千兆位流量的大型ISP網(wǎng)絡而部署的檢測解決方案所發(fā)現(xiàn)。

　　位于數(shù)據(jù)中心邊界的DDoS檢測和緩解解決方案應該能夠提供基于數(shù)據(jù)包的檢測功能，能夠立即提供保護，防范各種各樣的DDoS攻擊;然而，ISP/MSSP另外需要云解決方案，那樣才能在數(shù)據(jù)中心的外面阻止高帶寬攻擊、容量耗盡攻擊和狀態(tài)表耗盡攻擊，它們可能會耗盡通向上游ISP的鏈接。

　　在理想環(huán)境下，這兩種解決方案會通過信令技術(shù)來協(xié)同工作，從而提供完全自動化的多層次防御機制，以防范DDoS攻擊。

　　為了獲得最佳效果，數(shù)據(jù)中心的運營人員就必須與ISP密切配合，提供這種多管齊下的解決方案，為客戶設計一款可以保護服務、遠離DDoS攻擊的解決方案--無論這些客戶是公司企業(yè)，還是管理安全服務提供商。