如何抵御云端DDoS攻击?

日期:2016-12-23作者:Frank Siemons

【TechTarget中国原创】

当前遭到云端DDoS攻击已变得越来越普遍。在本文中,专家Frank Siemons将与企业分享有关该种攻击方式所需要了解的信息以及如何防范。

随着分布式拒绝服务攻击的频率和规模的不断提升,云端服务供应商可能会在带宽争夺战中成为攻击者们的更加关注的目标。云服务供应商(或称之为CSP)的商业模式,包括为客户提供高带宽的互联网连接能力的虚拟化实例。通过CSP直接或通过某一或多个客户间接进入带宽资源池会很容易地造成恶意的DDoS拒绝服务,或称为DDoS以及相关非法操作变得更加严重。这是否是威胁所在?还有企业如何使用云服务保护自己免受这样的威胁?

最新进展

在2012年,一群网络罪犯利用VE-2014-3120 Elasticsearch 1.1.x漏洞,以及Linux DDoS Trojan Mayday等手段,攻陷了几台Amazon Elastic Cloud Compute的虚拟机。尽管这一漏洞并不只是针对基于云端的系统,同时可以用来对付包括非云端系统在内的任意服务器,但确实为攻击者提供了一些有意义的机会。他们能够从攻陷的云端实例上运行基于用户数据报协议(User Datagram Protocol)的DDoS攻击。攻击者利用云服务供应商亚马逊的输出带宽,在这种情况下距离云服务供应商提供的理想环境相去甚远。如果某一CSP的公共IP地址范围与连接到云端的DDoS攻击产生关联,供应商可以在黑名单或某一公司的防火墙黑名单登记上找到它。它的客户将遭遇连接性问题并很可能导致服务停机。尽管主要供应商们大面积受到影响的可能性很低,但这可能会对CSP及其客户产生相当严重的影响。

云端DDoS攻击的风险

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

拒绝服务攻击防范>更多

  • CLDAP反射攻击或是下一个强力DDoS攻击技术

    如今,DDoS攻击活动规模越来越大,一种滥用CLDAP进行反射攻击的新方法可能会允许恶意攻击者使用较少的设备生成大量DDoS流量,企业需对其提高重视。

  • 对付僵尸网络?这两大策略要get住

    最近,安全博主Brian Krebs的网站遭受了历史上最强大的一次DDoS攻击,经证实,由路由器、安全摄像机(监控摄像机)、打印机、数字视频记录机(DVR)构成的大规模僵尸网络是发动此攻击的罪魁祸首……

  • 如何抵御云端DDoS攻击?

    随着分布式拒绝服务攻击的频率和规模的不断提升,云端服务供应商可能会在带宽争夺战中成为攻击者们的更加关注的目标……

  • BlackNurse攻击:4Mbps搞瘫路由器和防火墙

    研究人员公布名为“BlackNurse”的低容量ICMP拒绝服务攻击,该攻击能够凭借笔记本电脑的仅4Mbps的恶意数据包将路由器及防火墙弄瘫痪。

相关推荐

  • 云服务提供商该为安全负什么责任?

    随着云计算使用不断增加,数据保护和网络安全的共同责任模式概念也在改变。虽然这并不是新概念,我们已经与大多数外包共享安全责任多年,但共同安全责任的性质已经随着云计算的出现而改变……

  • 就怕贼惦记:DNS SaaS提供商Dyn遭遇大规模DDoS攻击

    DNS提供商Dyn发公告称一场大规模DDoS攻击正持续对美国东海岸地区造成影响,躺枪的站点都是叫的上来名的:Twitter、Reddit、Spotify、Github以及纽约时报等,且攻击火力迅速扩张,已从东海岸弥散至整个美国。

  • 云成熟度模型帮助中小企业判断云服务提供商的安全

    企业怎样才能证实云服务提供商是否达标准?大型公司和政府部门或许有影响力来要求对云提供商的场所和流程进行详细的考察。然而,小公司们可能就不太受欢迎了。

  • 探索云数据安全

    当决定是否采用云服务提供商时,围绕合规性和安全性的问题成为必须考虑的因素。那么都要考虑一些什么具体问题呢?本文和你一起探索云数据安全。

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
【TechTarget中国原创】

当前遭到云端DDoS攻击已变得越来越普遍。在本文中,专家Frank Siemons将与企业分享有关该种攻击方式所需要了解的信息以及如何防范。

随着分布式拒绝服务攻击的频率和规模的不断提升,云端服务供应商可能会在带宽争夺战中成为攻击者们的更加关注的目标。云服务供应商(或称之为CSP)的商业模式,包括为客户提供高带宽的互联网连接能力的虚拟化实例。通过CSP直接或通过某一或多个客户间接进入带宽资源池会很容易地造成恶意的DDoS拒绝服务,或称为DDoS以及相关非法操作变得更加严重。这是否是威胁所在?还有企业如何使用云服务保护自己免受这样的威胁?

最新进展

在2012年,一群网络罪犯利用VE-2014-3120 Elasticsearch 1.1.x漏洞,以及Linux DDoS Trojan Mayday等手段,攻陷了几台Amazon Elastic Cloud Compute的虚拟机。尽管这一漏洞并不只是针对基于云端的系统,同时可以用来对付包括非云端系统在内的任意服务器,但确实为攻击者提供了一些有意义的机会。他们能够从攻陷的云端实例上运行基于用户数据报协议(User Datagram Protocol)的DDoS攻击。攻击者利用云服务供应商亚马逊的输出带宽,在这种情况下距离云服务供应商提供的理想环境相去甚远。如果某一CSP的公共IP地址范围与连接到云端的DDoS攻击产生关联,供应商可以在黑名单或某一公司的防火墙黑名单登记上找到它。它的客户将遭遇连接性问题并很可能导致服务停机。尽管主要供应商们大面积受到影响的可能性很低,但这可能会对CSP及其客户产生相当严重的影响。

云端DDoS攻击的风险

云服务供应商在输入流量的位置部署有平台级的DDoS防护系统。他们还监测DDoS流量的输出流量,甚至可以关闭参与攻击的主机系统。这样在面临云端DDoS攻击时CSP显得相对安全。然而,虚拟机的关停对其拥有者来说并非是所希望的结果,因为这会导致托管系统的中断。这意味着不论是通过内部管理还是通过第三方供应商监控,确保和监控自己的基于云端主机运行,是最符合客户利益的办法。云空间之外也还存在着其他的风险,如公共IP由于DDoS的关系被加入一处或多处黑名单。由于被外部的反恶意软件产品所阻拦,这将导致电子邮件服务甚至是Web服务的损失。

发现并阻止云端DDoS攻击

有许多安全方面的最佳实践,特别是旨在降低被动参与云端DDoS攻击情况下的风险和影响。

任何云端客户应该有一个配置完好的、在其网络边界上的增强出口防火墙,这将防止由云服务供应商采取的关机需求。例如,一旦每秒连接数达到阈值,出口过滤器会封锁输出的NTP流量或会阻止任何对外部web服务器的请求。这一防火墙也应该被监控。用防火墙阻止流量是一回事,而在内部网络中找到实际发生这种情况的原因则是另一回事。

引起DDoS流量的遗留在网络中原因通常是在某一或多个系统中仍安装有恶意软件,使得感染的系统能够连接到更大的全球性的僵尸网络。这不仅导致了前文提到的种种与DDoS有关的问题,还使得僵尸网络的控制者能够掌控感染的系统,导致数据窃取、中断,甚至还可能造成用数据勒索赎金的情况。基于主机的高质量恶意软件检测和预防工具对所有任何系统都是必备的。

专用的DDoS攻击防护产品或第三方DDoS防护提供商也值得选用。客户可引导所有输入和输出的流量途经这些产品,从而从数据流中过滤掉与DDoS相关的有害流量。在选用第三方供应商产品时,如果客户在不知情的情况下参与到云DDoS攻击中,CSP的输出带宽仍然会被消耗。在使用基于云的专用产品时,如果客户是一个DDoS攻击目标,CSP的输入带宽仍然会被消耗。重要的是权衡哪种方法与环境最适应。

综上,配置良好的入侵检测或预防系统能够抓取可疑的或是恶意的流量。这也许不仅能够探测到DDoS流量,同时也能首先发现和阻止恶意软件、僵尸命令及控制流量,造就更加良好的环境。

结论

任何情况下被卷入DDoS攻击都很糟糕,但如果实际系统托管在公共云环境,相关的风险似乎会更高。不仅因为云端DDoS攻击本身,而是因为在理论上,客户系统可以被第三方机构所关闭,同时高容量的输出流量会造成大量成本。然而,如果采取正确的安全措施,这些风险大部分可以得到控制。当上述风险可控,公司就可以更专注于输入的DDoS攻击的防护过程中去,而这则是个完全不同的问题。