Arbor Networks公司的Darren Anstee详细介绍了越来越严重的分布式拒绝服务(DDoS)威胁,并且建议数据中心的管理人员如何着手构建一种采用多层次防御的解决方案,以应对DDoS威胁。
防火墙在失去功效。这是独立安全测试机构NSS Labs的一项近期调查得出的结论。调查发现,六款防火墙产品在接受稳定性测试时,有三款未能发挥正常功效。测试的这些防火墙就包括业界巨头的产品。
由于防火墙一贯是确保边界安全的公认基础,这些测试结果对于数据中心的管理人员来说特别让人震惊,特别是要考虑到这一点:他们在服务可用性上面临的威胁比以前任何时候都要来得严重、普遍。
比如说,Arbor Networks公司的第六份年度《全球基础设施安全报告》表明,2010年,源自僵尸网络的容量耗尽攻击和应用层分布式拒绝服务(DDoS)攻击仍然是网络运营人员在将来面临的最重大的威胁。
越来越严重的DDoS威胁
DDoS攻击可以分为三类:容量耗尽攻击(volumetric attack),这种攻击企图耗尽转发或链接容量;状态表耗尽攻击(state-exhaustion attacks),这种攻击企图耗尽基础设施和服务器里面的状态表;以及应用层攻击,这种攻击企图耗尽应用层资源。在所有这些攻击中,攻击者都是企图阻止真正的用户访问某个特定的网络、服务和应用程序。
虽然DDoS攻击存在的历史已超过了十年,但DDoS直到2010年12月才引起主流媒体的注意,当时它们摧垮了维基解密网站。随后,同情维基解密网站的人针对包括万士达卡(Mastercard)、贝宝(PayPal)、维萨(Visa)及其他知名机构在内的诸多目标发动了反攻。
据Arbor Networks公司在今年早些时候发布的《全球基础设施安全报告》显示,耗尽资源容量的DDoS攻击在2010年首次突破100Gbps大关。简而言之,DDoS攻击消耗的资源变得多了许多。报告还披露,可能也是更让人担忧的是,针对数据中心的应用层DDoS攻击越来越频繁、越来越高明,给数据中心运营造成的影响也越来越大。
这种攻击给数据中心带来了怎样的影响?
该报告披露了互联网数据中心(IDC)运营人员的发现结果;他们声称,应用层DDoS攻击导致了长时间的停运,增加了运营开支(OPEX)、客户流失和收入损失。接受《全球基础设施安全报告》调查的对象中绝大多数(77%)发现过应用层攻击,而近一半(49%)遇到过防火墙或入侵防御系统(IPS)因DDoS攻击而失灵的情况。
尽管IPS、防火墙及其他安全产品是多层次防御战略的必要组成部分,但它们解决不了DDoS问题。防火墙和IPS的目的在于保护网络边界,以防被渗透、被攻破,并且是企业机构安全架构中的策略执行点。它们利用状态流量检查技术来执行网络策略、确保完整性。
遗憾的是,防火墙或IPS所能维护的状态却是有限的——攻击者也知道这一点;所以当设备里面的资源被耗尽后,可能造成的结果是流量丢失、设备被锁死以及可能崩溃。
对于数据中心的运营人员来说,应用层DDoS也是一大威胁,因为数据中心无异于有好多目标可以下手的环境。防火墙和IPS一般无法检测或阻止应用层DDoS攻击,因而这时需要其他替代的解决方案。
怎样才能减小风险?
作为一个最佳实践,多层次防御已得到了安全行业的接受和认可;为了应对日益猖獗的DDoS威胁,需要同样这种方法。互联网服务提供商/管理安全服务提供商(ISP/MSSP)必须阻止容量耗尽攻击和大规模的状态表耗尽攻击,但是发现应用层DDoS攻击的工作一般需要在ISP的边缘或者数据中心内部来完成。那是由于,要发现应用层DDoS攻击比较困难,这种攻击常常不会被为了监测承载几十或几百千兆位流量的大型ISP网络而部署的检测解决方案所发现。
位于数据中心边界的DDoS检测和缓解解决方案应该能够提供基于数据包的检测功能,能够立即提供保护,防范各种各样的DDoS攻击;然而,ISP/MSSP另外需要云解决方案,那样才能在数据中心的外面阻止高带宽攻击、容量耗尽攻击和状态表耗尽攻击,它们可能会耗尽通向上游ISP的链接。
在理想环境下,这两种解决方案会通过信令技术来协同工作,从而提供完全自动化的多层次防御机制,以防范DDoS攻击。
为了获得最佳效果,数据中心的运营人员就必须与ISP密切配合,提供这种多管齐下的解决方案,为客户设计一款可以保护服务、远离DDoS攻击的解决方案——无论这些客户是公司企业,还是管理安全服务提供商。 |