引言：考慮到分布式拒絕服務攻擊（DDoS）的發(fā)生和增長，云服務供應商可以引起這些不斷爭取帶寬的攻擊者的興趣。直接通過云服務供應商來訪問帶寬這種珍貴資源，或者經由一個或多個客戶來間接訪問都可以使惡意的DDoS攻擊達到更高級水平。這種威脅是真實的嗎？利用云服務的企業(yè)如何防御這種威脅？

無疑，云服務供應商的業(yè)務模式包括向客戶的虛擬機提供高帶寬的互聯(lián)網連接能力。這種帶寬是受限的，或者簡單地說是根據使用情況收費的，當然要依賴于客戶所購買的服務水平。但是，單純從技術方面看，由于云服務供應商所利用共享高性能的基礎架構，所以升級到很高的帶寬水平并不是問題。用戶簡單地按下開關就可以改變帶寬。

考慮到分布式拒絕服務攻擊（DDoS）的發(fā)生和增長，云服務供應商可以引起這些不斷爭取帶寬的攻擊者的興趣。直接通過云服務供應商來訪問帶寬這種珍貴資源，或由一個或多個客戶來間接訪問都可以使惡意的DDoS攻擊達到更高水平。這種威脅是真實的嗎？利用云服務的企業(yè)如何防御這種威脅？

最新發(fā)展

在幾年前的通過利用Linux系統(tǒng)的DDoS木馬造成虛擬機的破壞的事件仍歷歷在目。雖然這種漏洞并非是基于云的系統(tǒng)所獨有，并且可用于對付任何服務器（其中就包括并非基于云的系統(tǒng)），但它確實給攻擊者帶來了一些令其感興趣的機會。攻擊者可以由受到攻擊損害的云系統(tǒng)而發(fā)動基于UDP的DDoS攻擊。攻擊者可以利用云服務供應商的出口帶寬。對于云服務供應商來說，這是非常糟糕的情況。如果其公共IP地址范圍與DDoS攻擊有了關聯(lián)，云服務供應商就會發(fā)現(xiàn)自己在黑名單上“榜上有名”，或者位于企業(yè)防火墻的黑名單中。其客戶就會遭受連接問題，并且有可能造成服務中斷。即使這種重要供應商的安全損害發(fā)生的可能性很低，但它對云服務供應商及其客戶的影響卻是相當巨大的。我們期望供應商都部署了所有可能的安全控制，但是還有什么是固若金湯的呢？

風險

對于DDoS的未來，這到底意味著什么目前尚不清楚，但是我們需要記住的是，云服務和DDoS攻擊的歷史都不長。在理論上講，由云平臺發(fā)起的大規(guī)模DDoS攻擊只是一個時間問題。云服務供應商對進入的通信可以部署平臺范圍的DDoS保護系統(tǒng)，還可以監(jiān)視DDoS的出口通信，并且關閉其系統(tǒng)上參與攻擊的主機。這就使得現(xiàn)在云服務供應商相對安全。但是，關閉虛擬機對于虛擬機的擁有者來說卻不是一個期望的結果，因為這會引起主要托管系統(tǒng)的故障。這意味著保障自己的基于云主機的安全并監(jiān)視其安全仍是客戶的最重要的利益，而不管是內部處理或者是通過一個第三方的安全供應商。在云空間之外，還有其他的風險，例如，有DDoS參與的公共IP地址被加入到黑名單中?；蛘?，由于被外部的反惡意產品阻止，導致電子郵件服務或者是網站服務的喪失。

檢測和防御

有很多安全最佳方法專門用于減少DDoS攻擊的風險和影響。所以上文所述，供應商確實在監(jiān)視其可管理的網絡，并且會在必要時關閉那些敢于冒犯的虛擬機。任何云客戶都應當在其外圍部署配置正確的強化的出口防火墻，防止被云服務供應商關閉虛擬機。例如，在每秒鐘的連接數(shù)達到界限時，出口過濾器可以阻止出口的NTP通信，或者可以阻止對外部Web服務器的請求。防火墻也應當受到監(jiān)視。阻止通信是回事，而找到內部網絡中的真正原因則是另一個問題。

DDoS通信離開網絡的原因往往與安裝在一個或多個系統(tǒng)上的惡意軟件有關，此惡意軟件將被感染的系統(tǒng)連接到更大的全球性的僵尸網絡。這不僅會導致DDoS問題，而且還可以使僵尸的控制者完全控制被感染的系統(tǒng)，導致數(shù)據失竊、故障，甚至遭到數(shù)據勒索。高質量的基于主機的惡意軟件檢測和防御工具對于任何系統(tǒng)都是必須的。

企業(yè)還可以利用專用的減輕DDoS攻擊的產品或者第三方的DDoS保護供應商。客戶可以通過這種方案直接傳輸所有進入的和發(fā)出的通信，并且這種方案可以從數(shù)據流中過濾掉攻擊性的DDoS相關通信。在使用第三方的供應商時，如果客戶不知不覺參與了DDoS攻擊，云服務供應商的出口帶寬仍然被消耗。在使用專用的基于云的產品時，如果客戶成為DDoS的攻擊目標，云供應商的入口帶寬也會被耗用。這意味著權衡哪種方案最適合企業(yè)的環(huán)境是非常重要的。

部署正確的入侵檢測或防御系統(tǒng)也可以捕獲可疑的或惡意的通信。這種系統(tǒng)不但可以檢測DDoS通信，還可以在第一時間就能夠檢測和防止惡意軟件和僵尸網絡的惡意通信，這當然是更好的情形。

企業(yè)需要審查云服務供應商的服務模式和合同，看其是否與客戶的期望相匹配。一個潛在的風險是，客戶的大量出口通信仍會被收費。但是，有些云服務供應商并不收取出口通信的費用；如果證實是發(fā)生了DDoS攻擊，有些供應商則會放棄收費。

結論

不管企業(yè)使用的是完整的云方案，還是混合模式的方案或者是本地的數(shù)據中心，在任何情況下，參與DDoS攻擊都是很糟糕的事情。如果企業(yè)的真實系統(tǒng)托管于一個公共云環(huán)境之中，那么風險看起來會更高，但未必僅僅是由于DDoS攻擊本身造成的。理論上講，第三方可以關閉客戶系統(tǒng)，而且大量的出口通信也會導致巨額賬單。但是，如果企業(yè)采取了適當?shù)陌踩胧?，其中的多?shù)風險就會很容易控制。這意味著企業(yè)可以將更多的關注放在入口的DDoS保護上。