網(wǎng)絡(luò)攻擊可以分為兩種情況：一種是從數(shù)據(jù)中心外部直接發(fā)動(dòng)攻擊，這種攻擊公開，短平快，迅速達(dá)到摧毀數(shù)據(jù)中心網(wǎng)絡(luò)的目的;另一種是從數(shù)據(jù)中心內(nèi)部越權(quán)操作，這種攻擊隱蔽，長(zhǎng)期潛伏在數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部，潛移默化，由量變到質(zhì)變，最終將數(shù)據(jù)中心網(wǎng)絡(luò)攻陷。兩種攻擊方式，一個(gè)表現(xiàn)張揚(yáng)，另一個(gè)表現(xiàn)內(nèi)斂，而目標(biāo)都是網(wǎng)絡(luò)，只是操作手法上有所不同而已。從外部發(fā)起的攻擊，攻擊速度快，如果數(shù)據(jù)中心沒(méi)能抗住，很快就會(huì)被攻陷，而從內(nèi)部發(fā)起的攻擊，速度緩慢，稍有不慎就會(huì)被殲滅，在這個(gè)過(guò)程中網(wǎng)絡(luò)有很多機(jī)會(huì)可以挫敗攻擊。不管是哪種攻擊，要么是消耗網(wǎng)絡(luò)資源，網(wǎng)絡(luò)數(shù)據(jù)無(wú)法傳遞，要么是利用IP協(xié)議的缺陷，產(chǎn)生網(wǎng)絡(luò)表項(xiàng)紊亂。

 

 

數(shù)據(jù)中心網(wǎng)絡(luò)資源包括帶寬、CPU、內(nèi)存緩存、軟件資源等。通過(guò)攻擊侵占到這些資源，致使網(wǎng)絡(luò)運(yùn)轉(zhuǎn)不正常。比如通過(guò)向數(shù)據(jù)中心網(wǎng)絡(luò)注入大量的垃圾流量，將帶寬占滿，正常業(yè)務(wù)的流量因缺少帶寬，出現(xiàn)擁塞丟包，業(yè)務(wù)出現(xiàn)異常。此外，可以向網(wǎng)絡(luò)注入大量的流量控制報(bào)文，造成帶寬擁塞的假象，降低網(wǎng)絡(luò)轉(zhuǎn)發(fā)速度，從而使業(yè)務(wù)流量轉(zhuǎn)發(fā)速率也隨之降下來(lái);網(wǎng)絡(luò)攻擊有時(shí)還會(huì)針對(duì)網(wǎng)絡(luò)設(shè)備發(fā)起協(xié)議攻擊，引起設(shè)備的CPU升高，尤其是交換機(jī)設(shè)備，CPU防攻擊能力都比較弱，CPU主要承擔(dān)控制協(xié)議的處理，CPU過(guò)高就會(huì)影響到一些協(xié)議報(bào)文的正常處理，會(huì)造成協(xié)議超時(shí)震蕩，嚴(yán)重時(shí)可以造成設(shè)備無(wú)響應(yīng)，掛起的故障。當(dāng)數(shù)據(jù)中心網(wǎng)絡(luò)的重要節(jié)點(diǎn)被如此攻擊后，將可能導(dǎo)致整個(gè)網(wǎng)絡(luò)協(xié)議工作不正常，網(wǎng)絡(luò)處于不穩(wěn)定狀態(tài);網(wǎng)絡(luò)攻擊有時(shí)還會(huì)對(duì)設(shè)備發(fā)起內(nèi)存攻擊，通過(guò)大量的網(wǎng)絡(luò)連接消耗設(shè)備內(nèi)存，導(dǎo)致設(shè)備內(nèi)存迅速被耗盡，設(shè)備被異常重啟，導(dǎo)致網(wǎng)絡(luò)業(yè)務(wù)中斷。有的時(shí)候如果設(shè)備存在軟件BUG，在一些特定情況下出現(xiàn)內(nèi)存泄露，這一點(diǎn)也有可能被攻擊者所利用，然后觸發(fā)設(shè)備的內(nèi)存泄露，一點(diǎn)點(diǎn)將設(shè)備的內(nèi)存消耗光，最終陷入異常;網(wǎng)絡(luò)還有很多協(xié)議軟件資源，比如TCP端口號(hào)或者TCP會(huì)話數(shù)，通過(guò)攻擊去消耗這些網(wǎng)絡(luò)資源，最終讓網(wǎng)絡(luò)系統(tǒng)走向崩潰，也是一種方法。可見(jiàn)，消耗網(wǎng)絡(luò)資源是網(wǎng)絡(luò)攻擊的一種非常重要的方式，惡意將網(wǎng)絡(luò)資源耗盡，從而觸發(fā)網(wǎng)絡(luò)異常，致使數(shù)據(jù)中心陷入癱瘓。

 

 

以太網(wǎng)協(xié)議雖然已經(jīng)經(jīng)歷了四十幾年的發(fā)展，依然有一些協(xié)議漏洞，存在安全性問(wèn)題，不少網(wǎng)絡(luò)攻擊都是利用這些已知缺陷，達(dá)到攻陷網(wǎng)絡(luò)的目的。這些缺陷包括網(wǎng)絡(luò)系統(tǒng)缺陷、軟件漏洞、協(xié)議工作機(jī)制等等。比如IP分片處理漏洞經(jīng)常被利用作為攻擊源。IP首部有兩個(gè)字節(jié)表示整個(gè)IP數(shù)據(jù)包長(zhǎng)度，所以IP數(shù)據(jù)包最長(zhǎng)只能為0xFFFF，即65535字節(jié)。如果有意發(fā)送總長(zhǎng)度超過(guò)65535的超大包，一些老系統(tǒng)內(nèi)核在處理時(shí)候就會(huì)出現(xiàn)問(wèn)題 ，導(dǎo)致崩潰或者拒絕服務(wù)。如果IP分片之間偏移量是經(jīng)過(guò)精心構(gòu)造，一些系統(tǒng)就無(wú)法處理，導(dǎo)致死機(jī)。比如ping o'death 、teardrop和jolt2等，原理都是利用發(fā)送異常IP分片，如果操作系統(tǒng)的內(nèi)核在處理分片重組時(shí)沒(méi)有考慮到所有異常情況，將可能引向異常的流程;針對(duì)網(wǎng)絡(luò)協(xié)議發(fā)起的攻擊類型也比較多，七層網(wǎng)絡(luò)幾乎都有被攻擊的可能，就連使用最廣的ARP協(xié)議，都存在協(xié)議漏洞，ARP欺騙就是其中一種。這是因?yàn)樵贏RP緩存表中存在一個(gè)缺陷，就是當(dāng)請(qǐng)求主機(jī)收到ARP應(yīng)答包后，不會(huì)去驗(yàn)證自己是否向?qū)Ψ街鳈C(jī)發(fā)送過(guò)ARP請(qǐng)求包，就直接把這個(gè)返回包中的IP地址與MAC地址的對(duì)應(yīng)關(guān)系保存進(jìn)ARP緩存表中，如果原有相同IP對(duì)應(yīng)關(guān)系，原有的則會(huì)被替換。ARP欺騙通過(guò)冒充網(wǎng)關(guān)或其他主機(jī)使得到達(dá)網(wǎng)關(guān)或主機(jī)的流量通過(guò)攻擊進(jìn)行轉(zhuǎn)發(fā)。通過(guò)轉(zhuǎn)發(fā)流量可以對(duì)流量進(jìn)行控制和查看，從而控制流量或得到機(jī)密信息。還有ICMP、TCP、DHCP等大量通用的網(wǎng)絡(luò)協(xié)議均存在缺陷，這緣于早期進(jìn)行網(wǎng)絡(luò)協(xié)議設(shè)計(jì)的時(shí)候并未過(guò)多考慮安全性，而是將注意力都放在了互通性上，在后來(lái)的IPv6設(shè)計(jì)中已經(jīng)將安全作為一項(xiàng)重要因素加以考慮，所以在IPv6協(xié)議上安全性得到很大提升。

 

無(wú)論是利用網(wǎng)絡(luò)資源，還是協(xié)議缺陷，最終都是希望對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)造成破壞，這類網(wǎng)絡(luò)攻擊預(yù)期達(dá)到的效果基本都是希望對(duì)網(wǎng)絡(luò)造成破壞，將數(shù)據(jù)中心網(wǎng)絡(luò)搞癱。很少能從網(wǎng)絡(luò)攻擊中獲取機(jī)密數(shù)據(jù)，因?yàn)閿?shù)據(jù)中心核心的數(shù)據(jù)基本都存在于存儲(chǔ)設(shè)備中，網(wǎng)絡(luò)傳遞過(guò)程中的海量數(shù)據(jù)，一一截取、破譯去獲得機(jī)密數(shù)據(jù)將是一個(gè)非常復(fù)雜和困難的過(guò)程，要從海量數(shù)據(jù)中找到有價(jià)值的數(shù)據(jù)也非常耗時(shí)。所以，網(wǎng)絡(luò)攻擊主要希望得到的是破壞性的效果，攻擊性強(qiáng)主要體現(xiàn)在破壞力上。近期，數(shù)據(jù)中心網(wǎng)絡(luò)安全問(wèn)題逐漸引起了更多人關(guān)注，網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)早就頒布，已不可能做太多改變，數(shù)據(jù)中心就需要根據(jù)網(wǎng)絡(luò)攻擊的常用模型，有針對(duì)性地做防護(hù)，在關(guān)鍵位置增加安全防護(hù)設(shè)備，保護(hù)數(shù)據(jù)中心脆弱的網(wǎng)絡(luò)系統(tǒng)。