任何遭遇過(guò)DDoS攻擊的企業(yè)都知道這種攻擊會(huì)造成嚴(yán)重的破壞。除了顯而易見(jiàn)的影響,例如性能下降或企業(yè)網(wǎng)站完全無(wú)法訪問(wèn),還有不太明顯的影響,例如,如果企業(yè)在IaaS或甚至主機(jī)托管提供商那兒選擇“基于使用量的定價(jià)”,DDoS攻擊會(huì)給企業(yè)造成財(cái)務(wù)損失。當(dāng)這些企業(yè)需要為帶寬或CPU時(shí)間付費(fèi)時(shí),DDoS相關(guān)的成本影響非常顯著。
鑒于分布式拒絕服務(wù)(DDoS)攻擊可能會(huì)帶來(lái)非常嚴(yán)重的后果,我們看到市場(chǎng)上涌現(xiàn)出很多專門防御或緩解這種類型攻擊的技術(shù)。這些技術(shù)依靠不同的機(jī)制;例如,一種技術(shù)利用云計(jì)算來(lái)緩解DDoS攻擊的影響,它會(huì)通過(guò)云服務(wù)提供商的DNS重置路由過(guò)濾有問(wèn)題的流量。最常見(jiàn)的方法是調(diào)整DNS記錄將對(duì)客戶Web服務(wù)器的請(qǐng)求發(fā)送至云服務(wù)提供商,云服務(wù)提供商作為入站請(qǐng)求的反向代理,他們會(huì)過(guò)濾惡意流量并將合法流量返回給客戶。
這種解決方案有很多優(yōu)勢(shì):它不需要修改客戶的網(wǎng)站,不需要部署新硬件,并可以快速啟用或禁用。然而,依靠DNS重置路由也可能讓問(wèn)題復(fù)雜化。由于流量會(huì)首先通過(guò)DNS解析到達(dá)云服務(wù)提供商,攻擊可繞過(guò)域名解析(例如直接瞄準(zhǔn)底層客戶IP地址),使其完全可以繞過(guò)這種保護(hù)機(jī)制。
CloudPiercer
從實(shí)踐來(lái)看,這里帶來(lái)的啟示是:隱藏客戶想要保護(hù)的服務(wù)的源IP很重要。事實(shí)上,這種緩解服務(wù)帶來(lái)的價(jià)值與獲取原始信息的難易程度有關(guān),這些信息隱藏得越好,攻擊者越難發(fā)起攻擊。
這是比利時(shí)Leuven大學(xué)和紐約州立大學(xué)Stony Brook分校研究人員提出的觀點(diǎn),他們對(duì)很多用于發(fā)現(xiàn)服務(wù)器(這些服務(wù)器受基于DDoS防護(hù)技術(shù)保護(hù))原始IP的技術(shù)進(jìn)行了測(cè)試。他們查看了IP歷史數(shù)據(jù)庫(kù)、解析到原始IP的子域名(例如用于SSH連接的子域名)、DNS信息(例如不指向云服務(wù)提供商的MX記錄)、可能包含IP信息的文件、引用和證書(shū)信息。他們的CloudPiercer研究網(wǎng)站提供了一種掃描工具來(lái)為管理員部署各種方法,幫助他們了解其環(huán)境是否存在風(fēng)險(xiǎn)。
這種方法很重要的原因不僅在于大部分網(wǎng)站都容易受到攻擊,也因?yàn)檫@些方法很可能被精明的攻擊者利用。例如,在CloudPiercer網(wǎng)站的部署會(huì)查看PHP信息文件;然而,這些肯定不是唯一包含服務(wù)器IP地址的文件:備份文件或腳本也可能包含這些信息。
我們可以做些什么?
對(duì)于基于云的DDoS防護(hù),受云計(jì)算保護(hù)的Web服務(wù)器的原始IP暴露可不是什么好事兒,這應(yīng)該引起安全人員的關(guān)注。要緊的是,如果使用基于云的DDoS防護(hù)服務(wù),他們可以怎么做來(lái)確保受到保護(hù)?對(duì)于正在評(píng)估DDoS緩解工具和戰(zhàn)略的企業(yè),這會(huì)有什么影響?
對(duì)于已經(jīng)在使用云服務(wù)作為其DDoS防護(hù)戰(zhàn)略一部分的企業(yè),他們必須了解他們是否正在暴露這些信息,以及他們是否在采取措施來(lái)防止這些信息在今后被泄露。為了確定他們現(xiàn)在是否在泄露這些信息,第一步可以利用CloudPiercer研究團(tuán)隊(duì)提供的免費(fèi)的掃描器。但是,這個(gè)工具并沒(méi)有涵蓋其他方面,有些企業(yè)可能希望采取更全面的分析。例如,他們可能想要評(píng)估滲透測(cè)試是否可確保這些信息得到了真正的隱蔽。
在他們了解他們目前是否受到了影響后,他們可建立流程來(lái)確保這些信息在之后不會(huì)被泄露。對(duì)于不同的公司,可能會(huì)選擇不同的方法,但他們可以考慮定期掃描、檢索主機(jī)IP的內(nèi)容變化,以及評(píng)估這些變化、針對(duì)該問(wèn)題或其他適合環(huán)境的其他技術(shù)對(duì)開(kāi)發(fā)人員進(jìn)行教育。
對(duì)于正在評(píng)估基于云的DDoS防護(hù)工具及服務(wù)的企業(yè),重要的是認(rèn)識(shí)到這個(gè)問(wèn)題的存在,并圍繞這個(gè)問(wèn)題制定計(jì)劃。有些解決方案可能涉及構(gòu)建上述程序來(lái)最大限度減少/防止信息泄露。這意味著基于設(shè)備的內(nèi)部部署解決方案更加重要,因?yàn)槲覀兛梢灶A(yù)測(cè)挑戰(zhàn),保持企業(yè)隱蔽性以及考慮在云中運(yùn)行但利用BGP的服務(wù),很多供應(yīng)提供兩種選項(xiàng)。
企業(yè)應(yīng)該認(rèn)真思考這個(gè)問(wèn)題,并將其融進(jìn)安全規(guī)劃中,因?yàn)镈DoS緩解非常重要,如果想從所購(gòu)買的服務(wù)中獲取最大的價(jià)值,企業(yè)就需要認(rèn)真理解和規(guī)劃這一問(wèn)題。
京公網(wǎng)安備 11010502049343號(hào)