Arbor Networks公司的Darren Anstee詳細(xì)介紹了越來(lái)越嚴(yán)重的分布式拒絕服務(wù)（DDoS）威脅，并且建議數(shù)據(jù)中心的管理人員如何著手構(gòu)建一種采用多層次防御的解決方案，以應(yīng)對(duì)DDoS威脅。

防火墻在失去功效。這是獨(dú)立安全測(cè)試機(jī)構(gòu)NSS Labs的一項(xiàng)近期調(diào)查得出的結(jié)論。調(diào)查發(fā)現(xiàn)，六款防火墻產(chǎn)品在接受穩(wěn)定性測(cè)試時(shí)，有三款未能發(fā)揮正常功效。測(cè)試的這些防火墻就包括業(yè)界巨頭的產(chǎn)品。

由于防火墻一貫是確保邊界安全的公認(rèn)基礎(chǔ)，這些測(cè)試結(jié)果對(duì)于數(shù)據(jù)中心的管理人員來(lái)說特別讓人震驚，特別是要考慮到這一點(diǎn)：他們?cè)诜?wù)可用性上面臨的威脅比以前任何時(shí)候都要來(lái)得嚴(yán)重、普遍。

比如說，Arbor Networks公司的第六份年度《全球基礎(chǔ)設(shè)施安全報(bào)告》表明，2010年，源自僵尸網(wǎng)絡(luò)的容量耗盡攻擊和應(yīng)用層分布式拒絕服務(wù)（DDoS）攻擊仍然是網(wǎng)絡(luò)運(yùn)營(yíng)人員在將來(lái)面臨的最重大的威脅。

越來(lái)越嚴(yán)重的DDoS威脅

DDoS攻擊可以分為三類：容量耗盡攻擊（volumetric attack），這種攻擊企圖耗盡轉(zhuǎn)發(fā)或鏈接容量；狀態(tài)表耗盡攻擊（state-exhaustion attacks），這種攻擊企圖耗盡基礎(chǔ)設(shè)施和服務(wù)器里面的狀態(tài)表；以及應(yīng)用層攻擊，這種攻擊企圖耗盡應(yīng)用層資源。在所有這些攻擊中，攻擊者都是企圖阻止真正的用戶訪問某個(gè)特定的網(wǎng)絡(luò)、服務(wù)和應(yīng)用程序。

雖然DDoS攻擊存在的歷史已超過了十年，但DDoS直到2010年12月才引起主流媒體的注意，當(dāng)時(shí)它們摧垮了維基解密網(wǎng)站。隨后，同情維基解密網(wǎng)站的人針對(duì)包括萬(wàn)士達(dá)卡（Mastercard）、貝寶（PayPal）、維薩（Visa）及其他知名機(jī)構(gòu)在內(nèi)的諸多目標(biāo)發(fā)動(dòng)了反攻。

據(jù)Arbor Networks公司在今年早些時(shí)候發(fā)布的《全球基礎(chǔ)設(shè)施安全報(bào)告》顯示，耗盡資源容量的DDoS攻擊在2010年首次突破100Gbps大關(guān)。簡(jiǎn)而言之，DDoS攻擊消耗的資源變得多了許多。報(bào)告還披露，可能也是更讓人擔(dān)憂的是，針對(duì)數(shù)據(jù)中心的應(yīng)用層DDoS攻擊越來(lái)越頻繁、越來(lái)越高明，給數(shù)據(jù)中心運(yùn)營(yíng)造成的影響也越來(lái)越大。

這種攻擊給數(shù)據(jù)中心帶來(lái)了怎樣的影響？

該報(bào)告披露了互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）運(yùn)營(yíng)人員的發(fā)現(xiàn)結(jié)果；他們聲稱，應(yīng)用層DDoS攻擊導(dǎo)致了長(zhǎng)時(shí)間的停運(yùn)，增加了運(yùn)營(yíng)開支（OPEX）、客戶流失和收入損失。接受《全球基礎(chǔ)設(shè)施安全報(bào)告》調(diào)查的對(duì)象中絕大多數(shù)（77%）發(fā)現(xiàn)過應(yīng)用層攻擊，而近一半（49%）遇到過防火墻或入侵防御系統(tǒng)（IPS）因DDoS攻擊而失靈的情況。

盡管IPS、防火墻及其他安全產(chǎn)品是多層次防御戰(zhàn)略的必要組成部分，但它們解決不了DDoS問題。防火墻和IPS的目的在于保護(hù)網(wǎng)絡(luò)邊界，以防被滲透、被攻破，并且是企業(yè)機(jī)構(gòu)安全架構(gòu)中的策略執(zhí)行點(diǎn)。它們利用狀態(tài)流量檢查技術(shù)來(lái)執(zhí)行網(wǎng)絡(luò)策略、確保完整性。

遺憾的是，防火墻或IPS所能維護(hù)的狀態(tài)卻是有限的——攻擊者也知道這一點(diǎn)；所以當(dāng)設(shè)備里面的資源被耗盡后，可能造成的結(jié)果是流量丟失、設(shè)備被鎖死以及可能崩潰。
對(duì)于數(shù)據(jù)中心的運(yùn)營(yíng)人員來(lái)說，應(yīng)用層DDoS也是一大威脅，因?yàn)閿?shù)據(jù)中心無(wú)異于有好多目標(biāo)可以下手的環(huán)境。防火墻和IPS一般無(wú)法檢測(cè)或阻止應(yīng)用層DDoS攻擊，因而這時(shí)需要其他替代的解決方案。

怎樣才能減小風(fēng)險(xiǎn)？

作為一個(gè)最佳實(shí)踐，多層次防御已得到了安全行業(yè)的接受和認(rèn)可；為了應(yīng)對(duì)日益猖獗的DDoS威脅，需要同樣這種方法?；ヂ?lián)網(wǎng)服務(wù)提供商/管理安全服務(wù)提供商（ISP/MSSP）必須阻止容量耗盡攻擊和大規(guī)模的狀態(tài)表耗盡攻擊，但是發(fā)現(xiàn)應(yīng)用層DDoS攻擊的工作一般需要在ISP的邊緣或者數(shù)據(jù)中心內(nèi)部來(lái)完成。那是由于，要發(fā)現(xiàn)應(yīng)用層DDoS攻擊比較困難，這種攻擊常常不會(huì)被為了監(jiān)測(cè)承載幾十或幾百千兆位流量的大型ISP網(wǎng)絡(luò)而部署的檢測(cè)解決方案所發(fā)現(xiàn)。
 
位于數(shù)據(jù)中心邊界的DDoS檢測(cè)和緩解解決方案應(yīng)該能夠提供基于數(shù)據(jù)包的檢測(cè)功能，能夠立即提供保護(hù)，防范各種各樣的DDoS攻擊；然而，ISP/MSSP另外需要云解決方案，那樣才能在數(shù)據(jù)中心的外面阻止高帶寬攻擊、容量耗盡攻擊和狀態(tài)表耗盡攻擊，它們可能會(huì)耗盡通向上游ISP的鏈接。

在理想環(huán)境下，這兩種解決方案會(huì)通過信令技術(shù)來(lái)協(xié)同工作，從而提供完全自動(dòng)化的多層次防御機(jī)制，以防范DDoS攻擊。

為了獲得最佳效果，數(shù)據(jù)中心的運(yùn)營(yíng)人員就必須與ISP密切配合，提供這種多管齊下的解決方案，為客戶設(shè)計(jì)一款可以保護(hù)服務(wù)、遠(yuǎn)離DDoS攻擊的解決方案——無(wú)論這些客戶是公司企業(yè)，還是管理安全服務(wù)提供商。 

英文原文地址:http://www.datacenterdynamics.com/focus/archive/2011/09/securing-the-data-center

原文鏈接：http://server.51cto.com/NGDC-294518.htm