检测和防御“云”的DDoS攻击

2017-03-09 04:17

网络安全和信息化 2017年1期

引言：考虑到分布式拒绝服务攻击（DDoS）的发生和增长，云服务供应商可以引起这些不断争取带宽的攻击者的兴趣。直接通过云服务供应商来访问带宽这种珍贵资源，或者经由一个或多个客户来间接访问都可以使恶意的DDoS攻击达到更高级水平。这种威胁是真实的吗？利用云服务的企业如何防御这种威胁？

无疑，云服务供应商的业务模式包括向客户的虚拟机提供高带宽的互联网连接能力。这种带宽是受限的，或者简单地说是根据使用情况收费的，当然要依赖于客户所购买的服务水平。但是，单纯从技术方面看，由于云服务供应商所利用共享高性能的基础架构，所以升级到很高的带宽水平并不是问题。用户简单地按下开关就可以改变带宽。

考虑到分布式拒绝服务攻击（DDoS）的发生和增长，云服务供应商可以引起这些不断争取带宽的攻击者的兴趣。直接通过云服务供应商来访问带宽这种珍贵资源，或由一个或多个客户来间接访问都可以使恶意的DDoS攻击达到更高水平。这种威胁是真实的吗？利用云服务的企业如何防御这种威胁？

风险

对于DDoS的未来，这到底意味着什么目前尚不清楚，但是我们需要记住的是，云服务和DDoS攻击的历史都不长。在理论上讲，由云平台发起的大规模DDoS攻击只是一个时间问题。云服务供应商对进入的通信可以部署平台范围的DDoS保护系统，还可以监视DDoS的出口通信，并且关闭其系统上参与攻击的主机。这就使得现在云服务供应商相对安全。但是，关闭虚拟机对于虚拟机的拥有者来说却不是一个期望的结果，因为这会引起主要托管系统的故障。这意味着保障自己的基于云主机的安全并监视其安全仍是客户的最重要的利益，而不管是内部处理或者是通过一个第三方的安全供应商。在云空间之外，还有其他的风险，例如，有DDoS参与的公共IP地址被加入到黑名单中。或者，由于被外部的反恶意产品阻止，导致电子邮件服务或者是网站服务的丧失。

检测和防御

有很多安全最佳方法专门用于减少DDoS攻击的风险和影响。所以上文所述，供应商确实在监视其可管理的网络，并且会在必要时关闭那些敢于冒犯的虚拟机。任何云客户都应当在其外围部署配置正确的强化的出口防火墙，防止被云服务供应商关闭虚拟机。例如，在每秒钟的连接数达到界限时，出口过滤器可以阻止出口的NTP通信，或者可以阻止对外部Web服务器的请求。防火墙也应当受到监视。阻止通信是回事，而找到内部网络中的真正原因则是另一个问题。

DDoS通信离开网络的原因往往与安装在一个或多个系统上的恶意软件有关，此恶意软件将被感染的系统连接到更大的全球性的僵尸网络。这不仅会导致DDoS问题，而且还可以使僵尸的控制者完全控制被感染的系统，导致数据失窃、故障，甚至遭到数据勒索。高质量的基于主机的恶意软件检测和防御工具对于任何系统都是必须的。

企业还可以利用专用的减轻DDoS攻击的产品或者第三方的DDoS保护供应商。客户可以通过这种方案直接传输所有进入的和发出的通信，并且这种方案可以从数据流中过滤掉攻击性的DDoS相关通信。在使用第三方的供应商时，如果客户不知不觉参与了DDoS攻击，云服务供应商的出口带宽仍然被消耗。在使用专用的基于云的产品时，如果客户成为DDoS的攻击目标，云供应商的入口带宽也会被耗用。这意味着权衡哪种方案最适合企业的环境是非常重要的。

部署正确的入侵检测或防御系统也可以捕获可疑的或恶意的通信。这种系统不但可以检测DDoS通信，还可以在第一时间就能够检测和防止恶意软件和僵尸网络的恶意通信，这当然是更好的情形。

企业需要审查云服务供应商的服务模式和合同，看其是否与客户的期望相匹配。一个潜在的风险是，客户的大量出口通信仍会被收费。但是，有些云服务供应商并不收取出口通信的费用；如果证实是发生了DDoS攻击，有些供应商则会放弃收费。

结论

不管企业使用的是完整的云方案，还是混合模式的方案或者是本地的数据中心，在任何情况下，参与DDoS攻击都是很糟糕的事情。如果企业的真实系统托管于一个公共云环境之中，那么风险看起来会更高，但未必仅仅是由于DDoS攻击本身造成的。理论上讲，第三方可以关闭客户系统，而且大量的出口通信也会导致巨额账单。但是，如果企业采取了适当的安全措施，其中的多数风险就会很容易控制。这意味着企业可以将更多的关注放在入口的DDoS保护上。

检测和防御“云”的DDoS攻击

最新发展

风险

检测和防御

结论