如何防御DDoS对数据中心攻击

Arbor Networks公司的Darren Anstee详细介绍了越来越严重的分布式拒绝服务(DDoS)威胁,并且建议数据中心的管理人员如何着手构建一种采用多层次防御的解决方案,以应对DDoS威胁。

防火墙在失去功效。这是独立安全测试机构NSS Labs的一项近期调查得出的结论。调查发现,六款防火墙产品在接受稳定性测试时,有三款未能发挥正常功效。测试的这些防火墙就包括业界巨头的产品。

由于防火墙一贯是确保边界安全的公认基础,这些测试结果对于数据中心的管理人员来说特别让人震惊,要考虑到这一点:他们在服务可用性上面临的威胁比以前任何时候都要来得严重、普遍。

比如说,Arbor Networks公司的《全球基础设施安全报告》表明,源自僵尸网络的容量耗尽攻击和应用层分布式拒绝服务(DDoS)攻击仍然是网络运营人员在将来面临的最重大的威胁。

越来越严重的DDoS威胁

DDoS攻击可以分为三类:容量耗尽攻击(volumetricattack),这种攻击企图耗尽转发或链接容量;状态表耗尽攻击(state-exhaustion attacks),这种攻击企图耗尽基础设施和服务器里面的状态表;以及应用层攻击,这种攻击企图耗尽应用层资源。在所有这些攻击中,攻击者都是企图阻止真正的用户访问某个特定的网络、服务和应用程序。

虽然DDoS攻击存在的历史已超过了十年,但DDoS直到2010年12月才引起主流媒体的注意,当时它们摧垮了维基解密网站。随后,同情维基解密网站的人针对包括万士达卡(Mastercard)、贝宝(PayPal)、维萨(Visa)及其他知名机构在内的诸多目标发动了反攻。

据Arbor Networks公司发布的《全球基础设施安全报告》显示,耗尽资源容量的DDoS攻击在2010年首次突破100Gbps大关。简而言之,DDoS攻击消耗的资源变得多了许多。报告还披露,可能也是更让人担忧的是,针对数据中心的应用层DDoS攻击越来越频繁、越来越高明,给数据中心运营造成的影响也越来越大。

这种攻击给数据中心带来了怎样的影响?

该报告披露了互联网数据中心(IDC)运营人员的发现结果;他们声称,应用层DDoS攻击导致了长时间的停运,增加了运营开支(OPEX)、客户流失和收入损失。接受《全球基础设施安全报告》调查的对象中绝大多数(77%)发现过应用层攻击,而近一半(49%)遇到过防火墙或入侵防御系统(IPS)因DDoS攻击而失灵的情况。

尽管IPS、防火墙及其他安全产品是多层次防御战略的必要组成部分,但它们解决不了DDoS问题。防火墙和IPS的目的在于保护网络边界,以防被渗透、被攻破,并且是企业机构安全架构中的策略执行点。它们利用状态流量检查技术来执行网络策略、确保完整性。

遗憾的是,防火墙或IPS所能维护的状态却是有限的--攻击者也知道这一点;所以当设备里面的资源被耗尽后,可能造成的结果是流量丢失、设备被锁死以及可能崩溃。

对于数据中心的运营人员来说,应用层DDoS也是一大威胁,因为数据中心无异于有好多目标可以下手的环境。防火墙和IPS一般无法检测或阻止应用层DDoS攻击,因而这时需要其他替代的解决方案。

怎样才能减小风险?

作为一个最佳实践,多层次防御已得到了安全行业的接受和认可;为了应对日益猖獗的DDoS威胁,需要同样这种方法。互联网服务提供商/管理安全服务提供商(ISP/MSSP)必须阻止容量耗尽攻击和大规模的状态表耗尽攻击,但是发现应用层DDoS攻击的工作一般需要在ISP的边缘或者数据中心内部来完成。那是由于,要发现应用层DDoS攻击比较困难,这种攻击常常不会被为了监测承载几十或几百千兆位流量的大型ISP网络而部署的检测解决方案所发现。

位于数据中心边界的DDoS检测和缓解解决方案应该能够提供基于数据包的检测功能,能够立即提供保护,防范各种各样的DDoS攻击;然而,ISP/MSSP另外需要云解决方案,那样才能在数据中心的外面阻止高带宽攻击、容量耗尽攻击和状态表耗尽攻击,它们可能会耗尽通向上游ISP的链接。

在理想环境下,这两种解决方案会通过信令技术来协同工作,从而提供完全自动化的多层次防御机制,以防范DDoS攻击。

为了获得最佳效果,数据中心的运营人员就必须与ISP密切配合,提供这种多管齐下的解决方案,为客户设计一款可以保护服务、远离DDoS攻击的解决方案--无论这些客户是公司企业,还是管理安全服务提供商。

本栏目更多精彩内容:http://www.bianceng.cnhttp://www.bianceng.cn/Network/Security/

时间: 2016-04-03

如何防御DDoS对数据中心攻击的相关文章

保护软件定义数据中心的三大关键考虑因素

软件定义的数据中心(SDDC)可以说为当下的企业组织IT提供了巨大的承诺.在SDDC内部,服务器虚拟化所带来的优势已然扩展到了存储和网络领域,进而使得企业数据中心的整个基础设施都可以在统一的平台上被抽象和集中管理.企业组织的IT团队能够充分利用前所未有的虚拟化技术.协同和自动化水平来实现基于服务的交付模式,从而实现真正的数字化转型. 借助SDDC,企业数据中心的IT基础架构可以实现私有云模式所支持的资源池.自助服务功能和弹性可扩展性等方面的功能.同时,数据中心在使IT部门能够在需要时融入公共云服

利用废弃建筑建设数据中心

一些建筑往往因为各种原因废弃或重新得到回收改造,日前,在芬兰一个地下飞机工厂被改建成为一个数据中心. 最令人印象深刻的回收建筑是建在2000多年前的埃及丹达腊哈索尔神庙,比一般的寺庙要早2000年.而当它成为一个基督教教堂,其女神哈托尔的形象转变成圣母玛利亚.   这并不是被变成一个数据中心,尽管至少不是那么久远.但据所知至少有三个数据中心建在废弃的教堂中. 波士顿学院圣埃德蒙大厅的数据中心就建在一个天主教的教堂中,有彩色玻璃的地方.在英国利兹,AQL公司把数据中心建在废弃的塞勒姆教堂内.而西班

亚信安全守护华南农业大学云数据中心 建智慧校园纵深防御体系

客户需求:构建面向全校教育信息化支撑的云数据中心的过程中,迎接服务器虚拟化安全挑战. 解决方案:以亚信安全服务器深度安全防护系统(Deep Security)为核心,构建多层次云安全纵深防御解决方案,实现物理和虚拟主机的全面防护,并满足现阶段和未来"等级保护制度2.0"中的信息系统合规性审计要求. 效果/客户证言:亚信安全无代理安全防护技术实现了底层虚拟机内部流量的安全防护,提供了包括防病毒.防火墙等在内全面的安全功能,帮助华南农业大学解决了虚拟化安全挑战的同时,还提高了虚拟化资源利用

在物联网时代如何打造安全的数据中心?

加密与安全的数据中心 IT管理员必须考虑的问题是:对于传输到数据中心(支持IoT设备或与之整合)内应用的未加密数据,他们应该如何管理?IoT设备通常处于劣势,因为在默认情况下它们不会加密数据.当IoT制造商在设计小型移动设备时,他们通常会避免添加加密等功能,这可能对数据中心的安全性带来严重的影响.很多时候,IoT制造商会认为从其设备收集的数据是低价值的数据,至少对于他们是这样,这让他们可以避免部署安全控制. 然而,这种观念是不正确的,所有数据都有与其相关的一定水平的责任.安全人员需要对每个应用执

关注数据中心NFV性能

网络功能虚拟化(NFV)显然在逐渐兴起,全球运营商的生产部署量日益增加.运营商正在寻求创建灵活的,以软件为导向的拓扑,可以按需提供服务并降低运营成本.从数据中心的性能角度来看,存在一个问题:在云端和企业数据中心工作的传统IT虚拟化方法无法实现经济高效的支持运营商所需的以I/O为中心和时间敏感型的工作负载. NFV,顾名思义,涉及将网络功能从网络设备中抽离,并以软件来实现.工作负载和网络资源可按需调整,这种即时供应服务方式在运营商中有着显著地上升空间,消除了网络功能必须存在于硬件设备中导致的"服务

8种有效降低数据中心能耗的方法

  随着新一代数据中心建设浪潮的兴起,随着企业机房里服务器的密度越来越高.数量越来越大,电力消耗和散热能力正在成为企业IT管理员重点关注的问题,数据中心所消耗的电力以及要冷却这些被转化为热量的电力消耗都达到了越来越高的水平.电力的巨大消耗带来各种严峻问题,巨额的电力成本会让企业的整体成本上升,并且,相对而言在一段时期内任何一个数据中心的电力供给都是有限的,所以即便是通过增加硬件来力求平衡,最终页仍然要面对电力供给与占地面积的问题,在日益倡导绿色环保和严格审核的低碳时代,降低数据中心的能耗极为必要

英特尔至强处理器E5-2600 v2现代数据中心的核心

全世界的 IT 企业正在努力实现数据中心的虚拟化和自动化,希望藉此帮助他们的业务实现更高的价值和降低成本,以更快和更高效的方式交付新的数据驱动型服务.基于英特尔® 至强 处理器的服务器为实现此创新奠定了基础.这些服务器在当前虚拟化中心和云环境中的所有服务器中占绝大部分的比例,而且能够为大多数具备最高性能的工作站提供支持. 性能提升多达 35% 英特尔至强处理器 E5-2600 v2 产品系列相比前代在内核数量和高速缓存容量上都增加了 50%,同时支持速度更快的内存并专为虚拟化额外提供了硬件增强特

蠕虫病毒疯狂肆虐 数据中心当如何防范?

如今,WannaCry和Petya等蠕虫病毒在全球各地肆虐表明,企业通过更新系统补丁的方式已经远远不能保护其数据中心. 自从计算机时代到来,蠕虫病毒就已经存在.它们是一种没有任何人工干预即可传播的恶意软件--无需点击坏链接或打开受感染的附件. 但是,随着WannaCry和Petya的快速传播,给企业带来的相关费用损失,得到了人们的高度关注. 在 "SQL Slammer" 的蠕虫袭击韩国的互联网服务器之后,工程师检查系统 管理>安全 加利福尼亚安全服务提供商Fortanix公司的

基于无尺度网络模型的启发——一种新型数据中心架构的设想

无尺度网络(Scale Free Network),在网络理论中指的是一类有特定特征的网络.无尺度网络所具有的特征是:大部分节点只有极少的边连接,只有极小一部分节点有大量的边连接.这一小部分有着大量连接的节点在无尺度网络模型中被称为"关键节点",关键节点承担整个网络的连通性,如果把整个网络的连通性作为评价标准,并且给每个节点都赋予一个权值用来衡量改节点为网络连通性所做的贡献,那么关键节点与普通节点的权值比一定十分大.由此我们得出,在无尺度网络中,失去一个乃至若干个普通节点,对网络的影响