如何抵御云端DDoS攻击?

日期:2016-12-23作者:Frank Siemons

【TechTarget中国原创】

当前遭到云端DDoS攻击已变得越来越普遍。在本文中,专家Frank Siemons将与企业分享有关该种攻击方式所需要了解的信息以及如何防范。

随着分布式拒绝服务攻击的频率和规模的不断提升,云端服务供应商可能会在带宽争夺战中成为攻击者们的更加关注的目标。云服务供应商(或称之为CSP)的商业模式,包括为客户提供高带宽的互联网连接能力的虚拟化实例。通过CSP直接或通过某一或多个客户间接进入带宽资源池会很容易地造成恶意的DDoS拒绝服务,或称为DDoS以及相关非法操作变得更加严重。这是否是威胁所在?还有企业如何使用云服务保护自己免受这样的威胁?

最新进展

在2012年,一群网络罪犯利用VE-2014-3120 Elasticsearch 1.1.x漏洞,以及Linux DDoS Trojan Mayday等手段,攻陷了几台Amazon Elastic Cloud Compute的虚拟机。尽管这一漏洞并不只是针对基于云端的系统,同时可以用来对付包括非云端系统在内的任意服务器,但确实为攻击者提供了一些有意义的机会。他们能够从攻陷的云端实例上运行基于用户数据报协议(User Datagram Protocol)的DDoS攻击。攻击者利用云服务供应商亚马逊的输出带宽,在这种情况下距离云服务供应商提供的理想环境相去甚远。如果某一CSP的公共IP地址范围与连接到云端的DDoS攻击产生关联,供应商可以在黑名单或某一公司的防火墙黑名单登记上找到它。它的客户将遭遇连接性问题并很可能导致服务停机。尽管主要供应商们大面积受到影响的可能性很低,但这可能会对CSP及其客户产生相当严重的影响。

云端DDoS攻击的风险

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

拒绝服务攻击防范>更多

相关推荐

  • 云服务提供商该为安全负什么责任?

    随着云计算使用不断增加,数据保护和网络安全的共同责任模式概念也在改变。虽然这并不是新概念,我们已经与大多数外包共享安全责任多年,但共同安全责任的性质已经随着云计算的出现而改变……

  • 就怕贼惦记:DNS SaaS提供商Dyn遭遇大规模DDoS攻击

    DNS提供商Dyn发公告称一场大规模DDoS攻击正持续对美国东海岸地区造成影响,躺枪的站点都是叫的上来名的:Twitter、Reddit、Spotify、Github以及纽约时报等,且攻击火力迅速扩张,已从东海岸弥散至整个美国。

  • 云成熟度模型帮助中小企业判断云服务提供商的安全

    企业怎样才能证实云服务提供商是否达标准?大型公司和政府部门或许有影响力来要求对云提供商的场所和流程进行详细的考察。然而,小公司们可能就不太受欢迎了。

  • 探索云数据安全

    当决定是否采用云服务提供商时,围绕合规性和安全性的问题成为必须考虑的因素。那么都要考虑一些什么具体问题呢?本文和你一起探索云数据安全。

技术手册>更多

  • 下一代网络攻击应对技术

    攻击者几乎都是以特定的企业为目标,并且通过Web来进行攻击的。随着越来越多的企业将操作和性能转移到网络上,基于Web的应用程序成为潜在的威胁向量(threat vector)。如今,黑客主要利用Web漏洞,来窃取您最重要的数据。为了保护您的数据,您该采取哪些技术呢?本技术手册将为您介绍基于内存攻击、僵尸网络攻击、中间人SSL攻击和网络战的应对技巧。

  • 安全加密秘籍

    无论是企业的自身需要还是安全标准的强制规定,为了更好的保护数据,加密已经成为企业的不二选择。本技术手册将详细介绍各种加密技术,帮助企业更好的保护数据。

  • 2010年安全最佳实践汇总手册

    2010年即将过去,在这一年中, IT安全各方面有哪些最佳实践值得大家去关注呢?本技术手册将为您总结2010年TT安全网站受欢迎的安全最佳实践,其中涉及网络安全、安全管理、身份认证与管理安全、系统安全、数据库安全和金融安全等方面。希望能够给安全朋友们提供一些帮助。

  • 防火墙架构

    企业的防火墙设计和安装是一项艰巨的工作。在设计过程中对防火墙的选择在以后的多年中对安全的意义深远。在这一系列文章中,我们将详细探讨防火墙的安装,希望对防火墙设计的过程会有帮助。
    我们将会分四个部分来探讨。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

当前遭到云端DDoS攻击已变得越来越普遍。在本文中,专家Frank Siemons将与企业分享有关该种攻击方式所需要了解的信息以及如何防范。

随着分布式拒绝服务攻击的频率和规模的不断提升,云端服务供应商可能会在带宽争夺战中成为攻击者们的更加关注的目标。云服务供应商(或称之为CSP)的商业模式,包括为客户提供高带宽的互联网连接能力的虚拟化实例。通过CSP直接或通过某一或多个客户间接进入带宽资源池会很容易地造成恶意的DDoS拒绝服务,或称为DDoS以及相关非法操作变得更加严重。这是否是威胁所在?还有企业如何使用云服务保护自己免受这样的威胁?

最新进展

在2012年,一群网络罪犯利用VE-2014-3120 Elasticsearch 1.1.x漏洞,以及Linux DDoS Trojan Mayday等手段,攻陷了几台Amazon Elastic Cloud Compute的虚拟机。尽管这一漏洞并不只是针对基于云端的系统,同时可以用来对付包括非云端系统在内的任意服务器,但确实为攻击者提供了一些有意义的机会。他们能够从攻陷的云端实例上运行基于用户数据报协议(User Datagram Protocol)的DDoS攻击。攻击者利用云服务供应商亚马逊的输出带宽,在这种情况下距离云服务供应商提供的理想环境相去甚远。如果某一CSP的公共IP地址范围与连接到云端的DDoS攻击产生关联,供应商可以在黑名单或某一公司的防火墙黑名单登记上找到它。它的客户将遭遇连接性问题并很可能导致服务停机。尽管主要供应商们大面积受到影响的可能性很低,但这可能会对CSP及其客户产生相当严重的影响。

云端DDoS攻击的风险

云服务供应商在输入流量的位置部署有平台级的DDoS防护系统。他们还监测DDoS流量的输出流量,甚至可以关闭参与攻击的主机系统。这样在面临云端DDoS攻击时CSP显得相对安全。然而,虚拟机的关停对其拥有者来说并非是所希望的结果,因为这会导致托管系统的中断。这意味着不论是通过内部管理还是通过第三方供应商监控,确保和监控自己的基于云端主机运行,是最符合客户利益的办法。云空间之外也还存在着其他的风险,如公共IP由于DDoS的关系被加入一处或多处黑名单。由于被外部的反恶意软件产品所阻拦,这将导致电子邮件服务甚至是Web服务的损失。

发现并阻止云端DDoS攻击

有许多安全方面的最佳实践,特别是旨在降低被动参与云端DDoS攻击情况下的风险和影响。

任何云端客户应该有一个配置完好的、在其网络边界上的增强出口防火墙,这将防止由云服务供应商采取的关机需求。例如,一旦每秒连接数达到阈值,出口过滤器会封锁输出的NTP流量或会阻止任何对外部web服务器的请求。这一防火墙也应该被监控。用防火墙阻止流量是一回事,而在内部网络中找到实际发生这种情况的原因则是另一回事。

引起DDoS流量的遗留在网络中原因通常是在某一或多个系统中仍安装有恶意软件,使得感染的系统能够连接到更大的全球性的僵尸网络。这不仅导致了前文提到的种种与DDoS有关的问题,还使得僵尸网络的控制者能够掌控感染的系统,导致数据窃取、中断,甚至还可能造成用数据勒索赎金的情况。基于主机的高质量恶意软件检测和预防工具对所有任何系统都是必备的。

专用的DDoS攻击防护产品或第三方DDoS防护提供商也值得选用。客户可引导所有输入和输出的流量途经这些产品,从而从数据流中过滤掉与DDoS相关的有害流量。在选用第三方供应商产品时,如果客户在不知情的情况下参与到云DDoS攻击中,CSP的输出带宽仍然会被消耗。在使用基于云的专用产品时,如果客户是一个DDoS攻击目标,CSP的输入带宽仍然会被消耗。重要的是权衡哪种方法与环境最适应。

综上,配置良好的入侵检测或预防系统能够抓取可疑的或是恶意的流量。这也许不仅能够探测到DDoS流量,同时也能首先发现和阻止恶意软件、僵尸命令及控制流量,造就更加良好的环境。

结论

任何情况下被卷入DDoS攻击都很糟糕,但如果实际系统托管在公共云环境,相关的风险似乎会更高。不仅因为云端DDoS攻击本身,而是因为在理论上,客户系统可以被第三方机构所关闭,同时高容量的输出流量会造成大量成本。然而,如果采取正确的安全措施,这些风险大部分可以得到控制。当上述风险可控,公司就可以更专注于输入的DDoS攻击的防护过程中去,而这则是个完全不同的问题。