如何防御DDoS对数据中心攻击

Arbor Networks公司的Darren Anstee详细介绍了越来越严重的分布式拒绝服务(DDoS)威胁,并且建议数据中心的管理人员如何着手构建一种采用多层次防御的解决方案,以应对DDoS威胁。

防火墙在失去功效。这是独立安全测试机构NSS Labs的一项近期调查得出的结论。调查发现,六款防火墙产品在接受稳定性测试时,有三款未能发挥正常功效。测试的这些防火墙就包括业界巨头的产品。

由于防火墙一贯是确保边界安全的公认基础,这些测试结果对于数据中心的管理人员来说特别让人震惊,要考虑到这一点:他们在服务可用性上面临的威胁比以前任何时候都要来得严重、普遍。

比如说,Arbor Networks公司的《全球基础设施安全报告》表明,源自僵尸网络的容量耗尽攻击和应用层分布式拒绝服务(DDoS)攻击仍然是网络运营人员在将来面临的最重大的威胁。

越来越严重的DDoS威胁

DDoS攻击可以分为三类:容量耗尽攻击(volumetricattack),这种攻击企图耗尽转发或链接容量;状态表耗尽攻击(state-exhaustion attacks),这种攻击企图耗尽基础设施和服务器里面的状态表;以及应用层攻击,这种攻击企图耗尽应用层资源。在所有这些攻击中,攻击者都是企图阻止真正的用户访问某个特定的网络、服务和应用程序。

虽然DDoS攻击存在的历史已超过了十年,但DDoS直到2010年12月才引起主流媒体的注意,当时它们摧垮了维基解密网站。随后,同情维基解密网站的人针对包括万士达卡(Mastercard)、贝宝(PayPal)、维萨(Visa)及其他知名机构在内的诸多目标发动了反攻。

据Arbor Networks公司发布的《全球基础设施安全报告》显示,耗尽资源容量的DDoS攻击在2010年首次突破100Gbps大关。简而言之,DDoS攻击消耗的资源变得多了许多。报告还披露,可能也是更让人担忧的是,针对数据中心的应用层DDoS攻击越来越频繁、越来越高明,给数据中心运营造成的影响也越来越大。

这种攻击给数据中心带来了怎样的影响?

该报告披露了互联网数据中心(IDC)运营人员的发现结果;他们声称,应用层DDoS攻击导致了长时间的停运,增加了运营开支(OPEX)、客户流失和收入损失。接受《全球基础设施安全报告》调查的对象中绝大多数(77%)发现过应用层攻击,而近一半(49%)遇到过防火墙或入侵防御系统(IPS)因DDoS攻击而失灵的情况。

尽管IPS、防火墙及其他安全产品是多层次防御战略的必要组成部分,但它们解决不了DDoS问题。防火墙和IPS的目的在于保护网络边界,以防被渗透、被攻破,并且是企业机构安全架构中的策略执行点。它们利用状态流量检查技术来执行网络策略、确保完整性。

遗憾的是,防火墙或IPS所能维护的状态却是有限的--攻击者也知道这一点;所以当设备里面的资源被耗尽后,可能造成的结果是流量丢失、设备被锁死以及可能崩溃。

对于数据中心的运营人员来说,应用层DDoS也是一大威胁,因为数据中心无异于有好多目标可以下手的环境。防火墙和IPS一般无法检测或阻止应用层DDoS攻击,因而这时需要其他替代的解决方案。

怎样才能减小风险?

作为一个最佳实践,多层次防御已得到了安全行业的接受和认可;为了应对日益猖獗的DDoS威胁,需要同样这种方法。互联网服务提供商/管理安全服务提供商(ISP/MSSP)必须阻止容量耗尽攻击和大规模的状态表耗尽攻击,但是发现应用层DDoS攻击的工作一般需要在ISP的边缘或者数据中心内部来完成。那是由于,要发现应用层DDoS攻击比较困难,这种攻击常常不会被为了监测承载几十或几百千兆位流量的大型ISP网络而部署的检测解决方案所发现。

位于数据中心边界的DDoS检测和缓解解决方案应该能够提供基于数据包的检测功能,能够立即提供保护,防范各种各样的DDoS攻击;然而,ISP/MSSP另外需要云解决方案,那样才能在数据中心的外面阻止高带宽攻击、容量耗尽攻击和状态表耗尽攻击,它们可能会耗尽通向上游ISP的链接。

在理想环境下,这两种解决方案会通过信令技术来协同工作,从而提供完全自动化的多层次防御机制,以防范DDoS攻击。

为了获得最佳效果,数据中心的运营人员就必须与ISP密切配合,提供这种多管齐下的解决方案,为客户设计一款可以保护服务、远离DDoS攻击的解决方案--无论这些客户是公司企业,还是管理安全服务提供商。

本栏目更多精彩内容:http://www.bianceng.cnhttp://www.bianceng.cn/Network/Security/

时间: 2016-04-03

如何防御DDoS对数据中心攻击的相关文章

如何防御DDoS对数据中心的攻击?

Arbor Networks公司的http://www.aliyun.com/zixun/aggregation/16480.html">Darren Anstee详细介绍了越来越严重的分布式拒绝服务(DDoS)威胁,并且建议数据中心的管理人员如何着手构建一种采用多层次防御的解决方案,以应对DDoS威胁. 防火墙在失去功效.这是独立安全测试机构NSS Labs的一项近期调查得出的结论.调查发现,六款防火墙产品在接受稳定性测试时,有三款未能发挥正常功效.测试的这些防火墙就包括业界巨头的产品.

数据中心安全防御大法大放送

数据中心是在不断变化的,尤其现在应用需求多种多样,数据中心需要不断地去变化,才能适应这些应用,和传统的数据中心不同,现在数据中心里应用最普及的就是虚拟化技术,数据中心虚拟化后,安全问题就已突显出来.原来数据中心每个物理环境相对独立,安全产品保护服务器和应用,安全防御还可控,但虚拟化来了后,所有虚拟机都共享资源,虚拟机和应用程序随时可能移动或变更,这给安全防御带来极大困难,很多人对数据中心的安全能力表示怀疑,尤其相比以往,数据中心类似发生数据泄漏的事件明显要更多,如何挽回人们的信任将关系到数据中心

数据中心安全防御大法

数据中心是在不断变化的,尤其现在应用需求多种多样,数据中心需要不断地去变化,才能适应这些应用,和传统的数据中心不同,现在数据中心里应用最普及的就是虚拟化技术,数据中心虚拟化后,安全问题就已突显出来.原来数据中心每个物理环境相对独立,安全产品保护服务器和应用,安全防御还可控,但虚拟化来了后,所有虚拟机都共享资源,虚拟机和应用程序随时可能移动或变更,这给安全防御带来极大困难,很多人对数据中心的安全能力表示怀疑,尤其相比以往,数据中心类似发生数据泄漏的事件明显要更多,如何挽回人们的信任将关系到数据中心

Fortinet妥善保护软件定义数据中心安全

Fortinet今天发布了FortiGate VMX下一代防火墙与内网隔离防火墙(NGFW/ISFW)安全平台.FortiGate VMX的VMware NSX虚拟化平台可支持企业在软件定义的数据中心(SDDC:Software-Defined Data Center)中自动部署安全服务. 高级安全服务之于动态数据中心 通过与VMware合作,Fortinet开发的FortiGate VMX将领先的下一代安全防护水平平滑.完整地迁移到VMware NSX网络虚拟化平台中,用户能够在其数据中心的环

盛夏来临,数据中心如何应对

转眼间又要进入盛夏,持续的高温天气即将来临,即使是祖国最北方的黑龙江日间温度也会超过30℃,地表温度超过40℃.面对这样的高温天气,很多行业都要积极面对,做好防御措施,数据中心当然也不例外,而且数据中心面临的挑战远比其它行业要多. 我们都知道,数据中心内部实际上是一个相对封闭的环境,通过空调系统保持内部的恒温恒湿,让内部设备运行在一个良好的环境中,这样可大大提升设备运行的稳定性.除了一些处于特殊地点的数据中心,绝大部分的数据中心要靠空调来维持内部的温湿度.数据中心的空调系统与家里的空调工作原理没

亚洲某数据中心遭受巨兽级带宽DDoS攻击

本文讲的是 亚洲某数据中心遭受巨兽级带宽DDoS攻击,Arbor Networks发现了又一次大型DDoS攻击:334Gbps的垃圾数据流攻击了一家亚洲网络运营商的数据中心,事件的发生时间在2015年一月至三月之间. 近三年来,大型DDoS攻击几乎成为了一项热门体育赛事,新发生的攻击事件不断刷新着历史事件的规模. Arbor公司使用云图系统(Atlas)记录安全事件.最近的这次事件是Atlas迄今为止记录到规模最大的DDoS攻击.这从技术上来讲没错,尽管该公司在今年一月表示自身已经通过外部来源掌

2015数据中心宕机20%是由DDoS攻击引起

由Ponemon Institute进行一个双年度的研究报告显示,和2010年相比,2013年数据中心停机成本已经上涨相比.报告包括来自美国各地的63个数据中心具有代表性的样本数据.研究表明,数据中心停机的平均成本从2010年的$505,502上升到2013年的$690,204,2015年这个数字达到$740,357,和2013年相比上涨了7%,和2010年相比上涨了38%. 该研究对象只包括非计划停运,这意味着计划的维护操作成本不包括在样本数据之内.研究人员认为停机成本包括设备或其他资产损害,

D1net阅闻:2015数据中心宕机20%是由DDoS攻击引起

2015数据中心宕机20%是由DDoS攻击引起 Ponemon Institute进行了一个双年度的研究报告,报告包括来自美国各地的63个数据中心具有代表性的样本数据.研究表明,数据中心停机的平均成本从2010年的$505,502上升到2013年的$690,204,2015年这个数字达到$740,357,和2013年相比上涨了7%,和2010年相比上涨了38%.大多数数据中心宕机是由错误的UPS设备引发,占所有事故数量的25%,紧随其后的是DDoS攻击,占22%,DDos攻击数量在过去几年稳步增

云端卫士DDoS防护解决方案亮相2016中国数据中心大会

近日,在主题为"智慧数据中心"的2016年第九届中国数据中心大会上,运营商级安全.加速一站式解决方案提供商云端卫士(cloudguarder.com)荣获2016中国数据中心年度安全防护优秀产品奖. 凭借业界领先的大数据分析技术以及芯片级安全防护引擎,云端卫士能够为不同规模的企业提供专业.高效且快速的CC攻击防护服务.DDoS(分布式拒绝服务)攻击清洗服务.DDoS攻击压制以及CDN加速服务. 大会颁奖现场 云端卫士荣获2016年度中国数据中心安全防护优秀产品奖 数据中心DDos攻击稳