云計算之痛：分布式拒絕服務攻擊的威脅

發布時間: 2012/7/31 14:21:55

　亞馬遜EC2的客戶們曾遭遇過一場有預謀的分布式拒絕服務(DDoS)攻擊，這場攻擊導致了對于這種基于Web的代碼托管服務BitBucket(我喜歡的IT小報TheRegister的正式新聞用語)的恐慌。一個不幸的事實是對于EC2所遭受的這種DDoS攻擊，一旦入口網絡帶寬被占滿，除了直接斷開網絡，沒有更好的防御措施。
　　
　　趨勢科技不得不把與分布式拒絕服務攻擊之間的搏斗作為我們反病毒業務以及托管安全業務的一部分。我和一些首席技術官和架構師們探討過他們對于Bitbucket事件的看法，這讓我認識到了DDoS所引起的棘手難題。
　　
　　供應商和SaaS/IaaS提供商們可以忽悠以免受到負面新聞的影響，但從技術的角度來看，一旦接入網絡受到密集的DDoS攻擊，便沒有任何防御可言。沒有方法能夠從架構上避免分布式拒絕服務的攻擊，但你可以設計架構減輕攻擊。這不是一勞永逸的事情，而是應該發展與上游供應商的好的工作關系并與他們實時合作減輕攻擊。
　　
　　大多數的(針對DDoS攻擊的)網絡對策方案無法使網絡免受DDoS攻擊，因為它們無法阻止通信的大量涌入，而且典型情況是，它們都不能區分好的內容和壞的內容。IntrusionPreventionSystems(IPS)對于已識別的并且之前有數字簽名的攻擊是有效的，但是對于內容合法而目的不良的攻擊卻束手無策。類似的，防火墻通常用一些簡單的規則來拒絕或者允許協議、端口或IP地址。DDoS攻擊可以很容易繞過防火墻和IPS設備，因為它們被設計成發送合法的通信流量(比如說對某Web服務器的HTTP請求)。這些攻擊從很多獨立主機上產生大量流量，以至于網絡連接無法處理這些流量。
　　
　　雖然我懷疑這種攻擊相對稀少，因為今天大多數這種形式的攻擊是用來牟取非法利益，而且DDoS通常被人操縱用來抹黑或者報復，它們仍會對顧客、IaaS賣家、和ISP們構成威脅。不管哪個壞蛋盜用了那些用于DDoS攻擊的機器，識別到這些被盜用的機器后，ISP們不得不開始一項痛苦的任務去通知他們的訂戶或者直接關閉這些被盜用的機器。ISP們要通知成千上萬的訂戶可不是很快很輕易就能完成的。
　　
　　如果你將一個不承擔緊急任務的應用程序到云里面去，那么上述這一切都無關緊要，你大可以前往酒吧等到DDoS風波平息你的應用程序又可以使用的時候。
　　
　　如果你是將一個承擔重要任務的程序應用到云計算里去，那又是另一回事了，因為你從一開始搭建這個程序時就要保證它有迅速恢復的能力。這就意味著將這個應用程序散布到不同的IaaS供應商那里并從他們那里復制數據。這也意味著要挑戰不同IaaS供應商的反應時間。云計算和SaaS/IaaS是了不起的東西，但企業和應用架構師先要謹慎思考，才能飛上云端。
　　
本文出自：億恩科技【www.endtimedelusion.com】

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]

上一篇 >> 劉積仁：走出“云”和“物聯網”的誤區
下一篇 >> 淺析網絡服裝銷售暴漲應該抓住三個要素

服務器租用

服務器托管

機柜批發

云服務器

建站俠

空間/域名

安全保姆

幫助類別

幫助中心

文章內容

云計算之痛：分布式拒絕服務攻擊的威脅

同類文章

億恩公告

在線客服