如何抵御云端DDoS攻击?

日期:2016-12-23作者:Frank Siemons

【TechTarget中国原创】

当前遭到云端DDoS攻击已变得越来越普遍。在本文中,专家Frank Siemons将与企业分享有关该种攻击方式所需要了解的信息以及如何防范。

随着分布式拒绝服务攻击的频率和规模的不断提升,云端服务供应商可能会在带宽争夺战中成为攻击者们的更加关注的目标。云服务供应商(或称之为CSP)的商业模式,包括为客户提供高带宽的互联网连接能力的虚拟化实例。通过CSP直接或通过某一或多个客户间接进入带宽资源池会很容易地造成恶意的DDoS拒绝服务,或称为DDoS以及相关非法操作变得更加严重。这是否是威胁所在?还有企业如何使用云服务保护自己免受这样的威胁?

最新进展

在2012年,一群网络罪犯利用VE-2014-3120 Elasticsearch 1.1.x漏洞,以及Linux DDoS Trojan Mayday等手段,攻陷了几台Amazon Elastic Cloud Compute的虚拟机。尽管这一漏洞并不只是针对基于云端的系统,同时可以用来对付包括非云端系统在内的任意服务器,但确实为攻击者提供了一些有意义的机会。他们能够从攻陷的云端实例上运行基于用户数据报协议(User Datagram Protocol)的DDoS攻击。攻击者利用云服务供应商亚马逊的输出带宽,在这种情况下距离云服务供应商提供的理想环境相去甚远。如果某一CSP的公共IP地址范围与连接到云端的DDoS攻击产生关联,供应商可以在黑名单或某一公司的防火墙黑名单登记上找到它。它的客户将遭遇连接性问题并很可能导致服务停机。尽管主要供应商们大面积受到影响的可能性很低,但这可能会对CSP及其客户产生相当严重的影响。

云端DDoS攻击的风险

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

拒绝服务攻击防范>更多

  • CLDAP反射攻击或是下一个强力DDoS攻击技术

    如今,DDoS攻击活动规模越来越大,一种滥用CLDAP进行反射攻击的新方法可能会允许恶意攻击者使用较少的设备生成大量DDoS流量,企业需对其提高重视。

  • 对付僵尸网络?这两大策略要get住

    最近,安全博主Brian Krebs的网站遭受了历史上最强大的一次DDoS攻击,经证实,由路由器、安全摄像机(监控摄像机)、打印机、数字视频记录机(DVR)构成的大规模僵尸网络是发动此攻击的罪魁祸首……

  • 如何抵御云端DDoS攻击?

    随着分布式拒绝服务攻击的频率和规模的不断提升,云端服务供应商可能会在带宽争夺战中成为攻击者们的更加关注的目标……

  • BlackNurse攻击:4Mbps搞瘫路由器和防火墙

    研究人员公布名为“BlackNurse”的低容量ICMP拒绝服务攻击,该攻击能够凭借笔记本电脑的仅4Mbps的恶意数据包将路由器及防火墙弄瘫痪。

相关推荐

  • 云服务提供商该为安全负什么责任?

    随着云计算使用不断增加,数据保护和网络安全的共同责任模式概念也在改变。虽然这并不是新概念,我们已经与大多数外包共享安全责任多年,但共同安全责任的性质已经随着云计算的出现而改变……

  • 就怕贼惦记:DNS SaaS提供商Dyn遭遇大规模DDoS攻击

    DNS提供商Dyn发公告称一场大规模DDoS攻击正持续对美国东海岸地区造成影响,躺枪的站点都是叫的上来名的:Twitter、Reddit、Spotify、Github以及纽约时报等,且攻击火力迅速扩张,已从东海岸弥散至整个美国。

  • 云成熟度模型帮助中小企业判断云服务提供商的安全

    企业怎样才能证实云服务提供商是否达标准?大型公司和政府部门或许有影响力来要求对云提供商的场所和流程进行详细的考察。然而,小公司们可能就不太受欢迎了。

  • 探索云数据安全

    当决定是否采用云服务提供商时,围绕合规性和安全性的问题成为必须考虑的因素。那么都要考虑一些什么具体问题呢?本文和你一起探索云数据安全。

技术手册>更多

  • Windows Server 2003安全:锁定

    关闭不必要的服务、端口和帐户使Windows Server 2003固若金汤。黑客通常通过不使用的(没有配置或者不安全的)端口和服务访问服务器,比如Internet信息服务(IIS)。为了限制入口点,服务器强化包括阻止不使用的端口和协议,同时中止不必要的服务。微软最近发布的Windows Server 2008可能备受关注,但是大部分组织仍然会使用Server 2003,直到微软不再支持它为止。虽然Server 2003可能不是最新的,也不是功能最强大的,但你采取一些简单——但必要的——步骤来强化你的系统。

  • Vista BitLocker磁盘加密向导

      BitLocker是微软Vista企业版和旗舰版(Vista Enterprise and Ultimate)中的一个功能,可以加密系统磁盘。这一点在Windows之前的版本中,如果没有第三方产品是不可能实现的。为了使用BitLocker,需要有可信平台模块(Trusted Platform Module,TPM)硬件的系统,1.2版本或者更好的。现在有些PC厂商已经开始支持了,虽然需要额外付费。  但是如果想要在没有TPM的系统上使用BitLocker应该怎么办呢?  本技术指南将介绍如何启动BitLocker,并在没有TPM的电脑上运行的方法,以及没有它的时候需要什么,应该怎么做以及可以获得的结果等。

  • 数据防护指南

    随着计算机应用的普及,计算机数据安全问题成为了日益突出的问题,特别是在网络环境下,数据的安全问题不仅涉及到系统数据和用户数据遭到逻辑级别或物理级别的损坏威胁,而且涉及到敏感数据通过网络泄漏的威胁。如何保护计算机数据安全已经是重大的战略问题。

  • Linux服务器安全技巧及工具总结

    Linux的安全性是企业构筑安全应用的重中之重,本技术手册介绍了Linux服务器安全的技巧和工具。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

当前遭到云端DDoS攻击已变得越来越普遍。在本文中,专家Frank Siemons将与企业分享有关该种攻击方式所需要了解的信息以及如何防范。

随着分布式拒绝服务攻击的频率和规模的不断提升,云端服务供应商可能会在带宽争夺战中成为攻击者们的更加关注的目标。云服务供应商(或称之为CSP)的商业模式,包括为客户提供高带宽的互联网连接能力的虚拟化实例。通过CSP直接或通过某一或多个客户间接进入带宽资源池会很容易地造成恶意的DDoS拒绝服务,或称为DDoS以及相关非法操作变得更加严重。这是否是威胁所在?还有企业如何使用云服务保护自己免受这样的威胁?

最新进展

在2012年,一群网络罪犯利用VE-2014-3120 Elasticsearch 1.1.x漏洞,以及Linux DDoS Trojan Mayday等手段,攻陷了几台Amazon Elastic Cloud Compute的虚拟机。尽管这一漏洞并不只是针对基于云端的系统,同时可以用来对付包括非云端系统在内的任意服务器,但确实为攻击者提供了一些有意义的机会。他们能够从攻陷的云端实例上运行基于用户数据报协议(User Datagram Protocol)的DDoS攻击。攻击者利用云服务供应商亚马逊的输出带宽,在这种情况下距离云服务供应商提供的理想环境相去甚远。如果某一CSP的公共IP地址范围与连接到云端的DDoS攻击产生关联,供应商可以在黑名单或某一公司的防火墙黑名单登记上找到它。它的客户将遭遇连接性问题并很可能导致服务停机。尽管主要供应商们大面积受到影响的可能性很低,但这可能会对CSP及其客户产生相当严重的影响。

云端DDoS攻击的风险

云服务供应商在输入流量的位置部署有平台级的DDoS防护系统。他们还监测DDoS流量的输出流量,甚至可以关闭参与攻击的主机系统。这样在面临云端DDoS攻击时CSP显得相对安全。然而,虚拟机的关停对其拥有者来说并非是所希望的结果,因为这会导致托管系统的中断。这意味着不论是通过内部管理还是通过第三方供应商监控,确保和监控自己的基于云端主机运行,是最符合客户利益的办法。云空间之外也还存在着其他的风险,如公共IP由于DDoS的关系被加入一处或多处黑名单。由于被外部的反恶意软件产品所阻拦,这将导致电子邮件服务甚至是Web服务的损失。

发现并阻止云端DDoS攻击

有许多安全方面的最佳实践,特别是旨在降低被动参与云端DDoS攻击情况下的风险和影响。

任何云端客户应该有一个配置完好的、在其网络边界上的增强出口防火墙,这将防止由云服务供应商采取的关机需求。例如,一旦每秒连接数达到阈值,出口过滤器会封锁输出的NTP流量或会阻止任何对外部web服务器的请求。这一防火墙也应该被监控。用防火墙阻止流量是一回事,而在内部网络中找到实际发生这种情况的原因则是另一回事。

引起DDoS流量的遗留在网络中原因通常是在某一或多个系统中仍安装有恶意软件,使得感染的系统能够连接到更大的全球性的僵尸网络。这不仅导致了前文提到的种种与DDoS有关的问题,还使得僵尸网络的控制者能够掌控感染的系统,导致数据窃取、中断,甚至还可能造成用数据勒索赎金的情况。基于主机的高质量恶意软件检测和预防工具对所有任何系统都是必备的。

专用的DDoS攻击防护产品或第三方DDoS防护提供商也值得选用。客户可引导所有输入和输出的流量途经这些产品,从而从数据流中过滤掉与DDoS相关的有害流量。在选用第三方供应商产品时,如果客户在不知情的情况下参与到云DDoS攻击中,CSP的输出带宽仍然会被消耗。在使用基于云的专用产品时,如果客户是一个DDoS攻击目标,CSP的输入带宽仍然会被消耗。重要的是权衡哪种方法与环境最适应。

综上,配置良好的入侵检测或预防系统能够抓取可疑的或是恶意的流量。这也许不仅能够探测到DDoS流量,同时也能首先发现和阻止恶意软件、僵尸命令及控制流量,造就更加良好的环境。

结论

任何情况下被卷入DDoS攻击都很糟糕,但如果实际系统托管在公共云环境,相关的风险似乎会更高。不仅因为云端DDoS攻击本身,而是因为在理论上,客户系统可以被第三方机构所关闭,同时高容量的输出流量会造成大量成本。然而,如果采取正确的安全措施,这些风险大部分可以得到控制。当上述风险可控,公司就可以更专注于输入的DDoS攻击的防护过程中去,而这则是个完全不同的问题。