當前遭到云端DDoS攻擊已變得越來越普遍。在本文中,專家Frank Siemons將與企業(yè)分享有關(guān)該種攻擊方式所需要了解的信息以及如何防范。
隨著分布式拒絕服務(wù)攻擊的頻率和規(guī)模的不斷提升,云端服務(wù)供應商可能會在帶寬爭奪戰(zhàn)中成為攻擊者們的更加關(guān)注的目標。云服務(wù)供應商(或稱之為CSP)的商業(yè)模式,包括為客戶提供高帶寬的互聯(lián)網(wǎng)連接能力的虛擬化實例。通過CSP直接或通過某一或多個客戶間接進入帶寬資源池會很容易地造成惡意的DDoS拒絕服務(wù),或稱為DDoS以及相關(guān)非法操作變得更加嚴重。這是否是威脅所在?還有企業(yè)如何使用云服務(wù)保護自己免受這樣的威脅?
最新進展
在2012年,一群網(wǎng)絡(luò)罪犯利用VE-2014-3120 Elasticsearch 1.1.x漏洞,以及Linux DDoS Trojan Mayday等手段,攻陷了幾臺Amazon Elastic Cloud Compute的虛擬機。盡管這一漏洞并不只是針對基于云端的系統(tǒng),同時可以用來對付包括非云端系統(tǒng)在內(nèi)的任意服務(wù)器,但確實為攻擊者提供了一些有意義的機會。他們能夠從攻陷的云端實例上運行基于用戶數(shù)據(jù)報協(xié)議(User Datagram Protocol)的DDoS攻擊。攻擊者利用云服務(wù)供應商亞馬遜的輸出帶寬,在這種情況下距離云服務(wù)供應商提供的理想環(huán)境相去甚遠。如果某一CSP的公共IP地址范圍與連接到云端的DDoS攻擊產(chǎn)生關(guān)聯(lián),供應商可以在黑名單或某一公司的防火墻黑名單登記上找到它。它的客戶將遭遇連接性問題并很可能導致服務(wù)停機。盡管主要供應商們大面積受到影響的可能性很低,但這可能會對CSP及其客戶產(chǎn)生相當嚴重的影響。
云端DDoS攻擊的風險
云服務(wù)供應商在輸入流量的位置部署有平臺級的DDoS防護系統(tǒng)。他們還監(jiān)測DDoS流量的輸出流量,甚至可以關(guān)閉參與攻擊的主機系統(tǒng)。這樣在面臨云端DDoS攻擊時CSP顯得相對安全。然而,虛擬機的關(guān)停對其擁有者來說并非是所希望的結(jié)果,因為這會導致托管系統(tǒng)的中斷。這意味著不論是通過內(nèi)部管理還是通過第三方供應商監(jiān)控,確保和監(jiān)控自己的基于云端主機運行,是最符合客戶利益的辦法。云空間之外也還存在著其他的風險,如公共IP由于DDoS的關(guān)系被加入一處或多處黑名單。由于被外部的反惡意軟件產(chǎn)品所阻攔,這將導致電子郵件服務(wù)甚至是Web服務(wù)的損失。
發(fā)現(xiàn)并阻止云端DDoS攻擊
有許多安全方面的最佳實踐,特別是旨在降低被動參與云端DDoS攻擊情況下的風險和影響。
任何云端客戶應該有一個配置完好的、在其網(wǎng)絡(luò)邊界上的增強出口防火墻,這將防止由云服務(wù)供應商采取的關(guān)機需求。例如,一旦每秒連接數(shù)達到閾值,出口過濾器會封鎖輸出的NTP流量或會阻止任何對外部web服務(wù)器的請求。這一防火墻也應該被監(jiān)控。用防火墻阻止流量是一回事,而在內(nèi)部網(wǎng)絡(luò)中找到實際發(fā)生這種情況的原因則是另一回事。
引起DDoS流量的遺留在網(wǎng)絡(luò)中原因通常是在某一或多個系統(tǒng)中仍安裝有惡意軟件,使得感染的系統(tǒng)能夠連接到更大的全球性的僵尸網(wǎng)絡(luò)。這不僅導致了前文提到的種種與DDoS有關(guān)的問題,還使得僵尸網(wǎng)絡(luò)的控制者能夠掌控感染的系統(tǒng),導致數(shù)據(jù)竊取、中斷,甚至還可能造成用數(shù)據(jù)勒索贖金的情況?;谥鳈C的高質(zhì)量惡意軟件檢測和預防工具對所有任何系統(tǒng)都是必備的。
專用的DDoS攻擊防護產(chǎn)品或第三方DDoS防護提供商也值得選用??蛻艨梢龑休斎牒洼敵龅牧髁客窘?jīng)這些產(chǎn)品,從而從數(shù)據(jù)流中過濾掉與DDoS相關(guān)的有害流量。在選用第三方供應商產(chǎn)品時,如果客戶在不知情的情況下參與到云DDoS攻擊中,CSP的輸出帶寬仍然會被消耗。在使用基于云的專用產(chǎn)品時,如果客戶是一個DDoS攻擊目標,CSP的輸入帶寬仍然會被消耗。重要的是權(quán)衡哪種方法與環(huán)境最適應。
綜上,配置良好的入侵檢測或預防系統(tǒng)能夠抓取可疑的或是惡意的流量。這也許不僅能夠探測到DDoS流量,同時也能首先發(fā)現(xiàn)和阻止惡意軟件、僵尸命令及控制流量,造就更加良好的環(huán)境。
結(jié)論
任何情況下被卷入DDoS攻擊都很糟糕,但如果實際系統(tǒng)托管在公共云環(huán)境,相關(guān)的風險似乎會更高。不僅因為云端DDoS攻擊本身,而是因為在理論上,客戶系統(tǒng)可以被第三方機構(gòu)所關(guān)閉,同時高容量的輸出流量會造成大量成本。然而,如果采取正確的安全措施,這些風險大部分可以得到控制。當上述風險可控,公司就可以更專注于輸入的DDoS攻擊的防護過程中去,而這則是個完全不同的問題。
文章來源:九河互聯(lián)——云端DDoS攻擊如何抵御()
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!