當前遭到云端DDoS攻擊已變得越來越普遍。在本文中，專家Frank Siemons將與企業分享有關該種攻擊方式所需要了解的信息以及如何防范。

隨著分布式拒絕服務攻擊的頻率和規模的不斷提升，云端服務供應商可能會在帶寬爭奪戰中成為攻擊者們的更加關注的目標。云服務供應商（或稱之為CSP）的商業模式，包括為客戶提供高帶寬的互聯網連接能力的虛擬化實例。通過CSP直接或通過某一或多個客戶間接進入帶寬資源池會很容易地造成惡意的DDoS拒絕服務，或稱為DDoS以及相關非法操作變得更加嚴重。這是否是威脅所在？還有企業如何使用云服務保護自己免受這樣的威脅？

最新進展

在2012年，一群網絡罪犯利用VE-2014-3120 Elasticsearch 1.1.x漏洞，以及Linux DDoS Trojan Mayday等手段，攻陷了幾臺Amazon Elastic Cloud Compute的虛擬機。盡管這一漏洞并不只是針對基于云端的系統，同時可以用來對付包括非云端系統在內的任意服務器，但確實為攻擊者提供了一些有意義的機會。他們能夠從攻陷的云端實例上運行基于用戶數據報協議（User Datagram Protocol）的DDoS攻擊。攻擊者利用云服務供應商亞馬遜的輸出帶寬，在這種情況下距離云服務供應商提供的理想環境相去甚遠。如果某一CSP的公共IP地址范圍與連接到云端的DDoS攻擊產生關聯，供應商可以在黑名單或某一公司的防火墻黑名單登記上找到它。它的客戶將遭遇連接性問題并很可能導致服務停機。盡管主要供應商們大面積受到影響的可能性很低，但這可能會對CSP及其客戶產生相當嚴重的影響。

云端DDoS攻擊的風險

云服務供應商在輸入流量的位置部署有平臺級的DDoS防護系統。他們還監測DDoS流量的輸出流量，甚至可以關閉參與攻擊的主機系統。這樣在面臨云端DDoS攻擊時CSP顯得相對安全。然而，虛擬機的關停對其擁有者來說并非是所希望的結果，因為這會導致托管系統的中斷。這意味著不論是通過內部管理還是通過第三方供應商監控，確保和監控自己的基于云端主機運行，是最符合客戶利益的辦法。云空間之外也還存在著其他的風險，如公共IP由于DDoS的關系被加入一處或多處黑名單。由于被外部的反惡意軟件產品所阻攔，這將導致電子郵件服務甚至是Web服務的損失。

發現并阻止云端DDoS攻擊

有許多安全方面的最佳實踐，特別是旨在降低被動參與云端DDoS攻擊情況下的風險和影響。

任何云端客戶應該有一個配置完好的、在其網絡邊界上的增強出口防火墻，這將防止由云服務供應商采取的關機需求。例如，一旦每秒連接數達到閾值，出口過濾器會封鎖輸出的NTP流量或會阻止任何對外部web服務器的請求。這一防火墻也應該被監控。用防火墻阻止流量是一回事，而在內部網絡中找到實際發生這種情況的原因則是另一回事。

引起DDoS流量的遺留在網絡中原因通常是在某一或多個系統中仍安裝有惡意軟件，使得感染的系統能夠連接到更大的全球性的僵尸網絡。這不僅導致了前文提到的種種與DDoS有關的問題，還使得僵尸網絡的控制者能夠掌控感染的系統，導致數據竊取、中斷，甚至還可能造成用數據勒索贖金的情況?；谥鳈C的高質量惡意軟件檢測和預防工具對所有任何系統都是必備的。

專用的DDoS攻擊防護產品或第三方DDoS防護提供商也值得選用?？蛻艨梢龑休斎牒洼敵龅牧髁客窘涍@些產品，從而從數據流中過濾掉與DDoS相關的有害流量。在選用第三方供應商產品時，如果客戶在不知情的情況下參與到云DDoS攻擊中，CSP的輸出帶寬仍然會被消耗。在使用基于云的專用產品時，如果客戶是一個DDoS攻擊目標，CSP的輸入帶寬仍然會被消耗。重要的是權衡哪種方法與環境最適應。

綜上，配置良好的入侵檢測或預防系統能夠抓取可疑的或是惡意的流量。這也許不僅能夠探測到DDoS流量，同時也能首先發現和阻止惡意軟件、僵尸命令及控制流量，造就更加良好的環境。

結論

任何情況下被卷入DDoS攻擊都很糟糕，但如果實際系統托管在公共云環境，相關的風險似乎會更高。不僅因為云端DDoS攻擊本身，而是因為在理論上，客戶系統可以被第三方機構所關閉，同時高容量的輸出流量會造成大量成本。然而，如果采取正確的安全措施，這些風險大部分可以得到控制。當上述風險可控，公司就可以更專注于輸入的DDoS攻擊的防護過程中去，而這則是個完全不同的問題。