檢測(cè)和防御“云”的DDoS攻擊

引言：考慮到分布式拒絕服務(wù)攻擊（DDoS）的發(fā)生和增長(zhǎng)，云服務(wù)供應(yīng)商可以引起這些不斷爭(zhēng)取帶寬的攻擊者的興趣。直接通過(guò)云服務(wù)供應(yīng)商來(lái)訪問(wèn)帶寬這種珍貴資源，或者經(jīng)由一個(gè)或多個(gè)客戶來(lái)間接訪問(wèn)都可以使惡意的DDoS攻擊達(dá)到更高級(jí)水平。這種威脅是真實(shí)的嗎？利用云服務(wù)的企業(yè)如何防御這種威脅？

無(wú)疑，云服務(wù)供應(yīng)商的業(yè)務(wù)模式包括向客戶的虛擬機(jī)提供高帶寬的互聯(lián)網(wǎng)連接能力。這種帶寬是受限的，或者簡(jiǎn)單地說(shuō)是根據(jù)使用情況收費(fèi)的，當(dāng)然要依賴于客戶所購(gòu)買(mǎi)的服務(wù)水平。但是，單純從技術(shù)方面看，由于云服務(wù)供應(yīng)商所利用共享高性能的基礎(chǔ)架構(gòu)，所以升級(jí)到很高的帶寬水平并不是問(wèn)題。用戶簡(jiǎn)單地按下開(kāi)關(guān)就可以改變帶寬。

考慮到分布式拒絕服務(wù)攻擊（DDoS）的發(fā)生和增長(zhǎng)，云服務(wù)供應(yīng)商可以引起這些不斷爭(zhēng)取帶寬的攻擊者的興趣。直接通過(guò)云服務(wù)供應(yīng)商來(lái)訪問(wèn)帶寬這種珍貴資源，或由一個(gè)或多個(gè)客戶來(lái)間接訪問(wèn)都可以使惡意的DDoS攻擊達(dá)到更高水平。這種威脅是真實(shí)的嗎？利用云服務(wù)的企業(yè)如何防御這種威脅？

最新發(fā)展

在幾年前的通過(guò)利用Linux系統(tǒng)的DDoS木馬造成虛擬機(jī)的破壞的事件仍歷歷在目。雖然這種漏洞并非是基于云的系統(tǒng)所獨(dú)有，并且可用于對(duì)付任何服務(wù)器（其中就包括并非基于云的系統(tǒng)），但它確實(shí)給攻擊者帶來(lái)了一些令其感興趣的機(jī)會(huì)。攻擊者可以由受到攻擊損害的云系統(tǒng)而發(fā)動(dòng)基于UDP的DDoS攻擊。攻擊者可以利用云服務(wù)供應(yīng)商的出口帶寬。對(duì)于云服務(wù)供應(yīng)商來(lái)說(shuō)，這是非常糟糕的情況。如果其公共IP地址范圍與DDoS攻擊有了關(guān)聯(lián)，云服務(wù)供應(yīng)商就會(huì)發(fā)現(xiàn)自己在黑名單上“榜上有名”，或者位于企業(yè)防火墻的黑名單中。其客戶就會(huì)遭受連接問(wèn)題，并且有可能造成服務(wù)中斷。即使這種重要供應(yīng)商的安全損害發(fā)生的可能性很低，但它對(duì)云服務(wù)供應(yīng)商及其客戶的影響卻是相當(dāng)巨大的。我們期望供應(yīng)商都部署了所有可能的安全控制，但是還有什么是固若金湯的呢？

風(fēng)險(xiǎn)

對(duì)于DDoS的未來(lái)，這到底意味著什么目前尚不清楚，但是我們需要記住的是，云服務(wù)和DDoS攻擊的歷史都不長(zhǎng)。在理論上講，由云平臺(tái)發(fā)起的大規(guī)模DDoS攻擊只是一個(gè)時(shí)間問(wèn)題。云服務(wù)供應(yīng)商對(duì)進(jìn)入的通信可以部署平臺(tái)范圍的DDoS保護(hù)系統(tǒng)，還可以監(jiān)視DDoS的出口通信，并且關(guān)閉其系統(tǒng)上參與攻擊的主機(jī)。這就使得現(xiàn)在云服務(wù)供應(yīng)商相對(duì)安全。但是，關(guān)閉虛擬機(jī)對(duì)于虛擬機(jī)的擁有者來(lái)說(shuō)卻不是一個(gè)期望的結(jié)果，因?yàn)檫@會(huì)引起主要托管系統(tǒng)的故障。這意味著保障自己的基于云主機(jī)的安全并監(jiān)視其安全仍是客戶的最重要的利益，而不管是內(nèi)部處理或者是通過(guò)一個(gè)第三方的安全供應(yīng)商。在云空間之外，還有其他的風(fēng)險(xiǎn)，例如，有DDoS參與的公共IP地址被加入到黑名單中?；蛘?，由于被外部的反惡意產(chǎn)品阻止，導(dǎo)致電子郵件服務(wù)或者是網(wǎng)站服務(wù)的喪失。

檢測(cè)和防御

有很多安全最佳方法專門(mén)用于減少DDoS攻擊的風(fēng)險(xiǎn)和影響。所以上文所述，供應(yīng)商確實(shí)在監(jiān)視其可管理的網(wǎng)絡(luò)，并且會(huì)在必要時(shí)關(guān)閉那些敢于冒犯的虛擬機(jī)。任何云客戶都應(yīng)當(dāng)在其外圍部署配置正確的強(qiáng)化的出口防火墻，防止被云服務(wù)供應(yīng)商關(guān)閉虛擬機(jī)。例如，在每秒鐘的連接數(shù)達(dá)到界限時(shí)，出口過(guò)濾器可以阻止出口的NTP通信，或者可以阻止對(duì)外部Web服務(wù)器的請(qǐng)求。防火墻也應(yīng)當(dāng)受到監(jiān)視。阻止通信是回事，而找到內(nèi)部網(wǎng)絡(luò)中的真正原因則是另一個(gè)問(wèn)題。

DDoS通信離開(kāi)網(wǎng)絡(luò)的原因往往與安裝在一個(gè)或多個(gè)系統(tǒng)上的惡意軟件有關(guān)，此惡意軟件將被感染的系統(tǒng)連接到更大的全球性的僵尸網(wǎng)絡(luò)。這不僅會(huì)導(dǎo)致DDoS問(wèn)題，而且還可以使僵尸的控制者完全控制被感染的系統(tǒng)，導(dǎo)致數(shù)據(jù)失竊、故障，甚至遭到數(shù)據(jù)勒索。高質(zhì)量的基于主機(jī)的惡意軟件檢測(cè)和防御工具對(duì)于任何系統(tǒng)都是必須的。

企業(yè)還可以利用專用的減輕DDoS攻擊的產(chǎn)品或者第三方的DDoS保護(hù)供應(yīng)商。客戶可以通過(guò)這種方案直接傳輸所有進(jìn)入的和發(fā)出的通信，并且這種方案可以從數(shù)據(jù)流中過(guò)濾掉攻擊性的DDoS相關(guān)通信。在使用第三方的供應(yīng)商時(shí)，如果客戶不知不覺(jué)參與了DDoS攻擊，云服務(wù)供應(yīng)商的出口帶寬仍然被消耗。在使用專用的基于云的產(chǎn)品時(shí)，如果客戶成為DDoS的攻擊目標(biāo)，云供應(yīng)商的入口帶寬也會(huì)被耗用。這意味著權(quán)衡哪種方案最適合企業(yè)的環(huán)境是非常重要的。

部署正確的入侵檢測(cè)或防御系統(tǒng)也可以捕獲可疑的或惡意的通信。這種系統(tǒng)不但可以檢測(cè)DDoS通信，還可以在第一時(shí)間就能夠檢測(cè)和防止惡意軟件和僵尸網(wǎng)絡(luò)的惡意通信，這當(dāng)然是更好的情形。

企業(yè)需要審查云服務(wù)供應(yīng)商的服務(wù)模式和合同，看其是否與客戶的期望相匹配。一個(gè)潛在的風(fēng)險(xiǎn)是，客戶的大量出口通信仍會(huì)被收費(fèi)。但是，有些云服務(wù)供應(yīng)商并不收取出口通信的費(fèi)用；如果證實(shí)是發(fā)生了DDoS攻擊，有些供應(yīng)商則會(huì)放棄收費(fèi)。

結(jié)論

不管企業(yè)使用的是完整的云方案，還是混合模式的方案或者是本地的數(shù)據(jù)中心，在任何情況下，參與DDoS攻擊都是很糟糕的事情。如果企業(yè)的真實(shí)系統(tǒng)托管于一個(gè)公共云環(huán)境之中，那么風(fēng)險(xiǎn)看起來(lái)會(huì)更高，但未必僅僅是由于DDoS攻擊本身造成的。理論上講，第三方可以關(guān)閉客戶系統(tǒng)，而且大量的出口通信也會(huì)導(dǎo)致巨額賬單。但是，如果企業(yè)采取了適當(dāng)?shù)陌踩胧?，其中的多?shù)風(fēng)險(xiǎn)就會(huì)很容易控制。這意味著企業(yè)可以將更多的關(guān)注放在入口的DDoS保護(hù)上。