Arbor Networks公司的Darren Anstee詳細介紹了越來越嚴重的分布式拒絕服務(DDoS)威脅,并且建議數據中心的管理人員如何著手構建一種采用多層次防御的解決方案,以應對DDoS威脅。
防火墻在失去功效。這是獨立安全測試機構NSS Labs的一項近期調查得出的結論。調查發現,六款防火墻產品在接受穩定性測試時,有三款未能發揮正常功效。測試的這些防火墻就包括業界巨頭的產品。
由于防火墻一貫是確保邊界安全的公認基礎,這些測試結果對于數據中心的管理人員來說特別讓人震驚,要考慮到這一點:他們在服務可用性上面臨的威脅比以前任何時候都要來得嚴重、普遍。
比如說,Arbor Networks公司的《全球基礎設施安全報告》表明,源自僵尸網絡的容量耗盡攻擊和應用層分布式拒絕服務(DDoS)攻擊仍然是網絡運營人員在將來面臨的最重大的威脅。
越來越嚴重的DDoS威脅
DDoS攻擊可以分為三類:容量耗盡攻擊(volumetricattack),這種攻擊企圖耗盡轉發或鏈接容量;狀態表耗盡攻擊(state-exhaustion attacks),這種攻擊企圖耗盡基礎設施和服務器里面的狀態表;以及應用層攻擊,這種攻擊企圖耗盡應用層資源。在所有這些攻擊中,攻擊者都是企圖阻止真正的用戶訪問某個特定的網絡、服務和應用程序。
雖然DDoS攻擊存在的歷史已超過了十年,但DDoS直到2010年12月才引起主流媒體的注意,當時它們摧垮了維基解密網站。隨后,同情維基解密網站的人針對包括萬士達卡(Mastercard)、貝寶(PayPal)、維薩(Visa)及其他知名機構在內的諸多目標發動了反攻。
據Arbor Networks公司發布的《全球基礎設施安全報告》顯示,耗盡資源容量的DDoS攻擊在2010年首次突破100Gbps大關。簡而言之,DDoS攻擊消耗的資源變得多了許多。報告還披露,可能也是更讓人擔憂的是,針對數據中心的應用層DDoS攻擊越來越頻繁、越來越高明,給數據中心運營造成的影響也越來越大。
這種攻擊給數據中心帶來了怎樣的影響?
該報告披露了互聯網數據中心(IDC)運營人員的發現結果;他們聲稱,應用層DDoS攻擊導致了長時間的停運,增加了運營開支(OPEX)、客戶流失和收入損失。接受《全球基礎設施安全報告》調查的對象中絕大多數(77%)發現過應用層攻擊,而近一半(49%)遇到過防火墻或入侵防御系統(IPS)因DDoS攻擊而失靈的情況。
盡管IPS、防火墻及其他安全產品是多層次防御戰略的必要組成部分,但它們解決不了DDoS問題。防火墻和IPS的目的在于保護網絡邊界,以防被滲透、被攻破,并且是企業機構安全架構中的策略執行點。它們利用狀態流量檢查技術來執行網絡策略、確保完整性。
遺憾的是,防火墻或IPS所能維護的狀態卻是有限的——攻擊者也知道這一點;所以當設備里面的資源被耗盡后,可能造成的結果是流量丟失、設備被鎖死以及可能崩潰。
對于數據中心的運營人員來說,應用層DDoS也是一大威脅,因為數據中心無異于有好多目標可以下手的環境。防火墻和IPS一般無法檢測或阻止應用層DDoS攻擊,因而這時需要其他替代的解決方案。
怎樣才能減小風險?
作為一個最佳實踐,多層次防御已得到了安全行業的接受和認可;為了應對日益猖獗的DDoS威脅,需要同樣這種方法。互聯網服務提供商/管理安全服務提供商(ISP/MSSP)必須阻止容量耗盡攻擊和大規模的狀態表耗盡攻擊,但是發現應用層DDoS攻擊的工作一般需要在ISP的邊緣或者數據中心內部來完成。那是由于,要發現應用層DDoS攻擊比較困難,這種攻擊常常不會被為了監測承載幾十或幾百千兆位流量的大型ISP網絡而部署的檢測解決方案所發現。
位于數據中心邊界的DDoS檢測和緩解解決方案應該能夠提供基于數據包的檢測功能,能夠立即提供保護,防范各種各樣的DDoS攻擊;然而,ISP/MSSP另外需要云解決方案,那樣才能在數據中心的外面阻止高帶寬攻擊、容量耗盡攻擊和狀態表耗盡攻擊,它們可能會耗盡通向上游ISP的鏈接。
在理想環境下,這兩種解決方案會通過信令技術來協同工作,從而提供完全自動化的多層次防御機制,以防范DDoS攻擊。
為了獲得最佳效果,數據中心的運營人員就必須與ISP密切配合,提供這種多管齊下的解決方案,為客戶設計一款可以保護服務、遠離DDoS攻擊的解決方案——無論這些客戶是公司企業,還是管理安全服務提供商。
京公網安備 11010502049343號