Arbor Networks公司的Darren Anstee详细介绍了越来越严重的分布式拒绝服务(DDoS)威胁,并且建议数据中心的管理人员如何着手构建一种采用多层次防御的解决方案,以应对DDoS威胁。
防火墙在失去功效。这是独立安全测试机构NSS Labs的一项近期调查得出的结论。调查发现,六款防火墙产品在接受稳定性测试时,有三款未能发挥正常功效。测试的这些防火墙就包括业界巨头的产品。
由于防火墙一贯是确保边界安全的公认基础,这些测试结果对于数据中心的管理人员来说特别让人震惊,要考虑到这一点:他们在服务可用性上面临的威胁比以前任何时候都要来得严重、普遍。
比如说,Arbor Networks公司的《全球基础设施安全报告》表明,源自僵尸网络的容量耗尽攻击和应用层分布式拒绝服务(DDoS)攻击仍然是网络运营人员在将来面临的最重大的威胁。
越来越严重的DDoS威胁
DDoS攻击可以分为三类:容量耗尽攻击(volumetricattack),这种攻击企图耗尽转发或链接容量;状态表耗尽攻击(state-exhaustion attacks),这种攻击企图耗尽基础设施和服务器里面的状态表;以及应用层攻击,这种攻击企图耗尽应用层资源。在所有这些攻击中,攻击者都是企图阻止真正的用户访问某个特定的网络、服务和应用程序。
虽然DDoS攻击存在的历史已超过了十年,但DDoS直到2010年12月才引起主流媒体的注意,当时它们摧垮了维基解密网站。随后,同情维基解密网站的人针对包括万士达卡(Mastercard)、贝宝(PayPal)、维萨(Visa)及其他知名机构在内的诸多目标发动了反攻。
据Arbor Networks公司发布的《全球基础设施安全报告》显示,耗尽资源容量的DDoS攻击在2010年首次突破100Gbps大关。简而言之,DDoS攻击消耗的资源变得多了许多。报告还披露,可能也是更让人担忧的是,针对数据中心的应用层DDoS攻击越来越频繁、越来越高明,给数据中心运营造成的影响也越来越大。
这种攻击给数据中心带来了怎样的影响?
该报告披露了互联网数据中心(IDC)运营人员的发现结果;他们声称,应用层DDoS攻击导致了长时间的停运,增加了运营开支(OPEX)、客户流失和收入损失。接受《全球基础设施安全报告》调查的对象中绝大多数(77%)发现过应用层攻击,而近一半(49%)遇到过防火墙或入侵防御系统(IPS)因DDoS攻击而失灵的情况。
尽管IPS、防火墙及其他安全产品是多层次防御战略的必要组成部分,但它们解决不了DDoS问题。防火墙和IPS的目的在于保护网络边界,以防被渗透、被攻破,并且是企业机构安全架构中的策略执行点。它们利用状态流量检查技术来执行网络策略、确保完整性。
遗憾的是,防火墙或IPS所能维护的状态却是有限的——攻击者也知道这一点;所以当设备里面的资源被耗尽后,可能造成的结果是流量丢失、设备被锁死以及可能崩溃。
对于数据中心的运营人员来说,应用层DDoS也是一大威胁,因为数据中心无异于有好多目标可以下手的环境。防火墙和IPS一般无法检测或阻止应用层DDoS攻击,因而这时需要其他替代的解决方案。
怎样才能减小风险?
