恒天云技术分享系列:http://www.hengtianyun.com/download-show-id-13.html
云主机的网络结构本质上和传统的网络结构一致,区别大概有两点。
1.软网络管理设备(如nova-network,open switch)部分替代硬件网络设备 。
2.多虚拟服务器共享一个宿主机物理网卡(使用Trunk技术)。
那么对于云服务器的安全,我们也可以采用传统的网络安全技术去防御。对于云主机,我们同时也需要做好宿主机的防火墙配置,以及安全设置。
1.对于虚拟机进行虚拟网卡流量限制,防止来自于虚拟机的DDoS攻击。
2.做好网络规划,充分利用iptables对OpenStack各安全组的访问进行隔离和限制。
这里需要提到的是,由于OpenStack可以对不同的用户进行了vlan隔离,故进行跨网段攻击和嗅探是很难的,这里也包括ARP攻击。同网段的主机之间的安全,个人觉得需要用户去管理与维护(无法控制用户安装或删除软件),我们只要做好外网对内网,不同子网之间的安全防护即可。
以下是常见的网络攻击类型,大部分可以通过iptales或添加硬件防火墙防御。
目前的网络攻击模式呈现多方位多手段化,让人防不胜防。概括来说分四大类:服务拒绝攻击、利用型攻击、信息收集型攻击、假消息攻击。
1、服务拒绝攻击
服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务,服务拒绝攻击是最容易实施的攻击行为,主要包括:
1.1 死亡之ping(ping of death)
概览:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进 行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时, 就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。
防御:现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的 windows,NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。
1.2 泪滴(teardrop)
概览:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的 哪一段的信息,某些TCP/IP(包括servicepack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。