应用层的DDOS(分散式阻断攻击)威胁对于数据中心营运商来说是最危险的。因为IPS设备和防火墙的状态检测设计遇到这种新的攻击手法会大量增加状态请求,进而变得更脆弱,使得设备本身更容易被攻击。此外,对于现行的基于边界网络的防护措施,如果想要利用云计算解决DDOS攻击,利用服务提供商的DDoS基础架构或部署在受害者基础架构上游的专用DDoS攻击防护措施,这些做法都还有很大的差距。
现行的解决方案无法很好地利用分布在网络上的运算能力,也无法协调上游设备,以便在流量饱和前将其转向。没有一个现成的解决方案可以同时运作在边界网络和云中。
——以上摘自 infosecurity-magazine.com
来看看这篇从infosecurity-magazine.com节录出来的好文,Arbor Networks的产品营销主管 – Rakesh Shah探讨现今的DDoS攻击,这篇发表在Cloud Security Alliance的文章的确值得一读。
我从Arbor成立时就开始注意他们了,当我还在Exodus Communications公司的时侯,他们的最初创办人曾经来找过我,看我们是否可以资助他们。当时我很怀疑他们是否能从网络上拿到足够的资料来做他们计划中的事情。不过我错了,时代改变了。
Rakesh的这段话中有两个重点:首先是古老的针对网站和DNS服务器的DDoS技术已经…老了。虽然它们依然有用,但是网络供应商对于如何防范这种攻击已经做得越来越好。
当我还在Speedera Networks时,在Akamai收购我们之前,我们只被DDoS攻击成功过一次,那次是我们的DNS服务器受到攻击。我们难过地告诉客户,我们遭受攻击而无法维持他们的网络流量。那个客户转移到了Akamai,结果在第二天又被同一个DDoS攻击成功,而这间记录非常良好的公司就只有被DDoS攻击成功过一次,因为他们有非常好的分布式架构。今天你就没再听过类似的故事了。
攻击HTTP的DDoS不会消失,但我们已经越来越了解如何处理它们。现在,最主要的都是应用层的DDoS攻击,它可以不停地耗掉后端服务器,最终用完所有的云计算额度,结果受害者只能选择额外掏钱将云计算的配额加大,或者直接让整个服务关闭。
以用量为基础的计价方式并不总是好的,尤其是这些用量都是被DdoS消耗掉时!
Rakesh所提出的第二个有趣的观点是:DDoS攻击防护方案并没有用到网络上散布的运算能力。所以能够解决DDoS攻击的终极方案就是使用网格云。如果有解决方案可以利用网络所蕴含的海量运算能力,那么应用层DDoS攻击就会失败。
毕竟,利用僵尸网络来进行DDoS攻击,这本身就是种网格云,有些殭尸网络能运用的总和运算能力甚至会令Google或其他云计算供应商的集中式数据中心都相形见拙。
利用网格云来对抗使用网格云推动的DDoS攻击,这种做法不仅聪明,还很经典。我期待可以看到一个真正的解决方案实现出来。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
