DDOS的主要特點(diǎn)
DDOS攻擊作為常見(jiàn)的高危害性安全威脅�,一直是CIO們的心頭大患��。和一般的安全風(fēng)險(xiǎn)不同���,現(xiàn)階段的DDOS攻擊呈現(xiàn)出了下面3個(gè)特點(diǎn):
攻擊門(mén)檻低��。簡(jiǎn)單易操作導(dǎo)致攻擊很活躍���。結(jié)合各方統(tǒng)計(jì)數(shù)據(jù)可以看出,現(xiàn)階段的DDOS攻擊活動(dòng)還處在一個(gè)高發(fā)期����,無(wú)論是在持續(xù)增長(zhǎng)的大小、速度��、持續(xù)時(shí)間和復(fù)雜性上�����,都有了比較明顯的增長(zhǎng)。一方面��,網(wǎng)絡(luò)上充斥的各種DDOS攻擊工具及詳細(xì)的指導(dǎo)教程�,降低了黑客的攻擊門(mén)檻,使得DDOS攻擊變成了一種簡(jiǎn)單高效����、極易實(shí)施的行為;另一方面�,大量的缺乏安全措施的終端PC,游戲服務(wù)器���,各種開(kāi)放的代理服務(wù)器�,也為DDOS的攻擊提供了數(shù)量可觀的肉雞�����,使得發(fā)動(dòng)攻擊成為可能����。
攻擊目標(biāo)對(duì)象清晰。企業(yè)數(shù)據(jù)中心�、公有云計(jì)算服務(wù)商�����、互聯(lián)網(wǎng)基礎(chǔ)服務(wù)商如DNS服務(wù)商�、新型的游戲服務(wù)商��、政府行業(yè)的基礎(chǔ)網(wǎng)絡(luò)�����,正在成為DDOS攻擊的熱點(diǎn)�����。因?yàn)閿?shù)據(jù)中心會(huì)部署大量的電子商務(wù)站點(diǎn)�����、在線(xiàn)游戲服務(wù)器�����、企業(yè)關(guān)鍵數(shù)據(jù)服務(wù)器等高價(jià)值服務(wù)���,所以容易成為黑客攻擊的目標(biāo)��。另外由于競(jìng)爭(zhēng)對(duì)手之間的惡意競(jìng)爭(zhēng)而出現(xiàn)的電子商務(wù)和游戲服務(wù)商之間的攻擊也屢見(jiàn)不鮮����。同時(shí)���,對(duì)于類(lèi)似DNS服務(wù)商而言��,通過(guò)簡(jiǎn)單的小流量的DNS洪水攻擊就可能導(dǎo)致互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)大面積的決絕服務(wù)���,正是黑客追求的;歸結(jié)起來(lái)����,政治上的惡意動(dòng)機(jī)、對(duì)手之間的惡意競(jìng)爭(zhēng)�、敲詐勒索等經(jīng)濟(jì)犯罪,是黑客發(fā)起DDOS的主要?jiǎng)訖C(jī)����。
攻擊形式多樣。分析現(xiàn)有的DDOS攻擊形式����,可以發(fā)現(xiàn)以SYN flood為代表的大流量型攻擊和以HTTP GET為代表的資源消耗型應(yīng)用層攻擊成為了主體�����。根據(jù)第三方的2013年上半年的攻擊統(tǒng)計(jì)�����,SYN/UDP/ICMP FLOOD的攻擊形式占據(jù)了超過(guò)56%��,HTTP GET(CC)/DNS 以應(yīng)用層攻擊占據(jù)了超過(guò)30%;針對(duì)諸如在線(xiàn)游戲和電子商務(wù)等對(duì)象�����,使用大流量沖擊可以在短時(shí)間內(nèi)令其網(wǎng)絡(luò)擁塞��,業(yè)務(wù)停滯�����;而針對(duì)諸如網(wǎng)頁(yè)游戲�����,對(duì)外網(wǎng)站��、數(shù)據(jù)庫(kù)應(yīng)用服務(wù)器等,則可以通過(guò)HTTP GET之類(lèi)的應(yīng)用層攻擊形式����,在流量較小的情況下實(shí)現(xiàn)精確打擊,造成服務(wù)器拒絕服務(wù)����;對(duì)于DNS之類(lèi)的特殊業(yè)務(wù)系統(tǒng)則可以使用頻繁的DNS Query Flood進(jìn)行攻擊,使得DNS服務(wù)器拒絕服務(wù)從而影響互聯(lián)網(wǎng)的正常訪(fǎng)問(wèn)�。來(lái)自Prolexic的統(tǒng)計(jì)報(bào)告也顯示出在當(dāng)前階段,以SYN Flood為代表的大流量攻擊��、以HTTP GET為代表的應(yīng)用層資源消耗型攻擊����,是目前的防護(hù)重點(diǎn),接下來(lái)我們將對(duì)這些攻擊形式進(jìn)行說(shuō)明�����。
DDOS的主要攻擊方式
1.大流量沖擊型
大流量攻擊一方面使得基礎(chǔ)網(wǎng)絡(luò)的出口擁塞��、帶寬被占滿(mǎn)���,正常的永遠(yuǎn)流量無(wú)法得到帶寬保證����,另一方面基礎(chǔ)網(wǎng)絡(luò)的安全設(shè)備、服務(wù)器主機(jī)等設(shè)備也因?yàn)檫^(guò)量的負(fù)載導(dǎo)致CPU繁忙甚至掛死�����,整個(gè)網(wǎng)絡(luò)可能癱瘓并無(wú)法繼續(xù)對(duì)外提供服務(wù)���,主要的攻擊形式如下所述��。
1) 以SYN Flood為代表的有狀態(tài)協(xié)議報(bào)文攻擊
SYN Flood攻擊是目前使用最為廣泛的攻擊方式��,它充分利用了TCP協(xié)議三次握手機(jī)制的特點(diǎn),偽造大量的源IP和端口的SYN報(bào)文�,每個(gè)IP在向服務(wù)器端發(fā)送第一個(gè)SYN報(bào)文后,不再繼續(xù)發(fā)送響應(yīng)報(bào)文��,導(dǎo)致服務(wù)器端在發(fā)送SYN+ACK的響應(yīng)報(bào)文后�,因?yàn)檫t遲收不到響應(yīng)報(bào)文而長(zhǎng)時(shí)間的保持TCP連接,最終導(dǎo)致服務(wù)器因?yàn)榇嬖诖罅康牟徽暾B接而資源耗盡而造成拒絕服務(wù)����,通過(guò)對(duì)僵尸網(wǎng)絡(luò)大量“肉雞”主機(jī)的控制很容易形成大規(guī)模的SYN Flood攻擊。
除了傳統(tǒng)的SYN報(bào)文攻擊之外,攻擊者還可以在這個(gè)基礎(chǔ)上進(jìn)行變形形成新的類(lèi)似攻擊�,例如使用ACK報(bào)文進(jìn)行Flood攻擊、構(gòu)造超長(zhǎng)字節(jié)數(shù)目的攻擊報(bào)文�����、修改TCP頭的TCP標(biāo)志位使得協(xié)議狀態(tài)機(jī)混亂的攻擊�����、 短時(shí)間內(nèi)大量建立完整TCP連接使得應(yīng)用程序的TCP并發(fā)連接數(shù)達(dá)到極限值從而造成拒絕服務(wù)���,統(tǒng)計(jì)表明這是目前使用比較多的攻擊方式
2) 以UDP/ICMP Flood為代表的無(wú)狀態(tài)協(xié)議報(bào)文攻擊
和TCP連接不同�,UDP協(xié)議是無(wú)連接狀態(tài)不可靠的通道傳輸協(xié)議�,本身不提供協(xié)調(diào)的手
消息反饋等機(jī)制,其通信的可靠性需要依靠其承載的應(yīng)用程序來(lái)進(jìn)行保證�����;赨DP協(xié)議的DDOS比較簡(jiǎn)單易行�。黑客只需要偽造大量IP地址和小字節(jié)的UDP報(bào)文�,針對(duì)特定的應(yīng)用服務(wù)器及其端口號(hào),大量發(fā)包沖擊諸如DNS域名解析服務(wù)器���、Radius認(rèn)證服務(wù)器���、部分網(wǎng)絡(luò)游戲服務(wù)器����、及流媒體視頻服務(wù)器等�����。這些攻擊報(bào)文將導(dǎo)致目標(biāo)服務(wù)器始終處在繁忙狀態(tài)�,從而影響正常UDP消息的處理。其他諸如ICMP Flood攻擊��,其原理也和UDP比較類(lèi)似��,在此不再詳細(xì)描述��。
2.應(yīng)用層資源消耗型
應(yīng)用層攻擊并非依靠超大規(guī)模的流量取勝��,其主要是通過(guò)模擬用戶(hù)發(fā)送請(qǐng)求��,對(duì)特定的應(yīng)用或服務(wù)的資源進(jìn)行消耗占用����,利用較小的流量攻擊就可以耗盡應(yīng)用層資源并拒絕提供服務(wù),這其中以HTTP GET和DNS Query 為典型代表���。
1) HTTP GET攻擊
作為CC攻擊的一種主要表現(xiàn)形式�����,HTTP GET的攻擊看上去目前比較流行���,占有比較多的攻擊比例。攻擊者可能通過(guò)單主機(jī)構(gòu)造多個(gè)IP地址���,并和服務(wù)器建立正常的TCP連接���,之后不斷的向目標(biāo)服務(wù)器特定頁(yè)面發(fā)起HTTP GET請(qǐng)求,實(shí)現(xiàn)諸如數(shù)據(jù)庫(kù)的注冊(cè)�、查詢(xún)、刷新等操作以消耗服務(wù)器資源�,當(dāng)發(fā)送的頻率足夠高的時(shí)候?qū)?dǎo)致服務(wù)器側(cè)忙于響應(yīng)這些請(qǐng)求導(dǎo)致CPU資源不足,從而使得其他的正常請(qǐng)求得不到處理����。考慮到現(xiàn)階段服務(wù)器的處理性能也在不斷提升���,為了保證攻擊效果�����,攻擊者也可能通過(guò)代理服務(wù)器或者僵尸網(wǎng)絡(luò)控制更多的僵尸主機(jī)參與到攻擊中來(lái)�����,大量的僵尸主機(jī)不斷的向服務(wù)器特定頁(yè)面發(fā)送HTTP GET請(qǐng)求將導(dǎo)致服務(wù)器拒絕服務(wù)�����,而且因?yàn)檫@些僵尸主機(jī)都是真實(shí)存在的IP地址����,因此看上去隱蔽性更強(qiáng),
2) DNS查詢(xún)的泛洪攻擊
DNS服務(wù)作為互聯(lián)網(wǎng)的基礎(chǔ)性業(yè)務(wù),對(duì)于互聯(lián)網(wǎng)的重要性不言而喻�����。黑客通過(guò)利用僵尸網(wǎng)絡(luò)(或模擬大量IP地址)基于真實(shí)DNS協(xié)議發(fā)起大量DNS Query域名查詢(xún)請(qǐng)求����,導(dǎo)致DNS服務(wù)器資源被大量消耗�����,網(wǎng)絡(luò)帶寬被占用耗盡,使得無(wú)法傳送正常DNS查詢(xún)請(qǐng)求����;或者發(fā)送大量非法域名查詢(xún)報(bào)文引起DNS服務(wù)器持續(xù)進(jìn)行迭代查詢(xún),從而達(dá)到用小流量實(shí)現(xiàn)攻擊的效果�����。
由于DNS服務(wù)器在網(wǎng)絡(luò)中的特殊位置����,小規(guī)模的DNS拒絕服務(wù)攻擊很可能也演變成大流量的沖擊事件。比較典型的案例是5.19安全事件��,暴風(fēng)影音的DNS服務(wù)器被攻擊并拒絕服務(wù)�����,千萬(wàn)數(shù)量級(jí)的暴風(fēng)影音用戶(hù)變成了“肉雞”�,其客戶(hù)端開(kāi)始頻繁發(fā)送DNS域名解析請(qǐng)求,繼而形成了DNS Flood攻擊沖擊到運(yùn)營(yíng)商網(wǎng)絡(luò)�,并使得到運(yùn)營(yíng)商本身的DNS系統(tǒng)癱瘓,最終導(dǎo)致南方多個(gè)省市的互聯(lián)網(wǎng)服務(wù)中斷�����。
DDOS攻擊的主要防護(hù)方式
考慮到DDOS攻擊的多樣性,現(xiàn)階段沒(méi)有辦法完全杜絕這種攻擊行為的發(fā)生�����,但是我們可以做到減少被DDOS攻擊�,在遭受DDOS攻擊之后快速恢復(fù)業(yè)務(wù)。接下來(lái)將從四個(gè)方面進(jìn)行詳細(xì)說(shuō)明�。
1. 網(wǎng)絡(luò)安全管理員通過(guò)合理的配置實(shí)現(xiàn)攻擊預(yù)防
在運(yùn)維管理過(guò)程中,網(wǎng)絡(luò)安全管理員除了調(diào)整WEB服務(wù)器負(fù)載�,做好業(yè)務(wù)之間的冗余備份和負(fù)載均衡外,還可以關(guān)注以下幾個(gè)方面的配置調(diào)整�,以減少被攻擊的風(fēng)險(xiǎn)。
確保所有服務(wù)器采用最新系統(tǒng)����,并打上安全補(bǔ)丁,避免服務(wù)器本身的安全漏洞被黑客控制和利用�����。同時(shí)關(guān)閉不需要使用的服務(wù)和端口��,禁止使用網(wǎng)絡(luò)訪(fǎng)問(wèn)程序如Telnet、FTP�����、Rlogin等���,必要的話(huà)使用類(lèi)似SSH等加密訪(fǎng)問(wèn)程序,避免這些端口被攻擊者利用��。
深度了解自身的網(wǎng)絡(luò)配置和結(jié)構(gòu)�����,加強(qiáng)對(duì)所轄訪(fǎng)問(wèn)內(nèi)所有主機(jī)的安全檢查�,必要的話(huà)部署端點(diǎn)準(zhǔn)入機(jī)制來(lái)保證接入的安全。針對(duì)不同的客戶(hù)端和服務(wù)器進(jìn)行精確的權(quán)限控制��,隔絕任何可能存在的非法訪(fǎng)問(wèn)�。
正確設(shè)置網(wǎng)絡(luò)的信任邊界,避免任何可能的非信任域發(fā)起的訪(fǎng)問(wèn)請(qǐng)求��,針對(duì)類(lèi)似文件共享等行為進(jìn)行嚴(yán)格的權(quán)限控制���。
建設(shè)完整的安全日志跟蹤系統(tǒng)��,在網(wǎng)絡(luò)的邊緣出口運(yùn)行端口映射程序或端口掃描程序�����,實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中可能存在的惡意端口掃描等行為�����,同時(shí)對(duì)網(wǎng)絡(luò)設(shè)備���、主機(jī)/服務(wù)器系統(tǒng)的日志進(jìn)行收集分析���,及時(shí)發(fā)現(xiàn)可能存在異常的日志行為并進(jìn)行排查。
2.利用防火墻等設(shè)備實(shí)現(xiàn)DDOS攻擊檢測(cè)
目前的狀態(tài)檢測(cè)防火墻等安全設(shè)備都具備一定的安全攻擊檢測(cè)能力�����,一般其情況下基于對(duì)協(xié)議報(bào)文的狀態(tài)跟蹤�����,可以準(zhǔn)確發(fā)現(xiàn)一些畸形TCP協(xié)議報(bào)文的攻擊��。除此之外����,現(xiàn)階段的典型攻擊檢測(cè)方式還有以下幾種����。
使能TCP Proxy連接代理技術(shù)�。諸如防火墻產(chǎn)品可以利用TCP Proxy代理功能,實(shí)現(xiàn)對(duì)攻擊報(bào)文的準(zhǔn)確識(shí)別�����。在接受到客戶(hù)端發(fā)起的TCP請(qǐng)求時(shí)���,防火墻產(chǎn)品本身將充當(dāng)代理,率先和客戶(hù)端保持會(huì)話(huà)建立的過(guò)程��。如果完整的三次握手報(bào)文沒(méi)有收到�����,防火墻將丟棄該會(huì)話(huà)連接請(qǐng)求����,同時(shí)也不會(huì)和后端服務(wù)器建立會(huì)話(huà)連接,只有三次握手成功的連接請(qǐng)求�,才會(huì)傳遞到后端的服務(wù)器并完成會(huì)話(huà)的建立。通過(guò)這種代理技術(shù)可以準(zhǔn)確的識(shí)別基于TCP連接狀態(tài)的攻擊報(bào)文,如針對(duì)SYN Flood攻擊��,TCP半連接狀態(tài)攻擊等���。
智能會(huì)話(huà)管理技術(shù)�。針對(duì)上面提到的TCP連接并發(fā)的攻擊����,因?yàn)槠浔旧碛型暾腡CP 三次握手,因此常規(guī)的TCP 代理技術(shù)并不能有效檢測(cè)�。為了避免這種情況,防火墻產(chǎn)品可以在TCP代理的基礎(chǔ)上進(jìn)一步改進(jìn)���,在TCP連接建立后��,防火墻會(huì)主動(dòng)檢測(cè)該TCP連接的流量大小��,如果設(shè)備存在大量的沒(méi)有流量的空連接����,則設(shè)備會(huì)主動(dòng)將該TCP連接進(jìn)行老化�����,避免這些空連接占用耗盡服務(wù)器的會(huì)話(huà)資源。
HTTP兩次重定向技術(shù)����。針對(duì)上述提到的HTTP Get攻擊類(lèi)型,由于其屬于正常的訪(fǎng)問(wèn)請(qǐng)求�,因此在防護(hù)過(guò)程中,一方面可以通過(guò)實(shí)時(shí)監(jiān)控單位時(shí)間內(nèi)同一個(gè)IP地址發(fā)起的HTTP Get請(qǐng)求的數(shù)目來(lái)初步判斷是否存在可能的攻擊���,如果超出一定的閥值將終止該IP地址的訪(fǎng)問(wèn)請(qǐng)求以保護(hù)服務(wù)器���;另一方面�����,也可以使用HTTP Get兩次重定向技術(shù)來(lái)檢測(cè)這種攻擊��。在接受到HTTP Get請(qǐng)求之前����,安全設(shè)備會(huì)與客戶(hù)端瀏覽器進(jìn)行虛擬連接,待瀏覽器發(fā)送HTTP Get報(bào)文請(qǐng)求后��,將所要GET的URL進(jìn)行重定向發(fā)向該瀏覽器�����,等待瀏覽器發(fā)起對(duì)該重定向鏈接的訪(fǎng)問(wèn)。如果瀏覽器再次發(fā)起該請(qǐng)求�����,則將該客戶(hù)端加入到信任的IP列表�,并再次重定向到瀏覽器所要請(qǐng)求的正確URL,后續(xù)可以根據(jù)該IP地址黑白名單信譽(yù)列表轉(zhuǎn)發(fā)�����。
除了上述方法之外����,設(shè)備還有一些其他的方法來(lái)判斷DDOS攻擊,比如針對(duì)UDP Flood報(bào)文攻擊�����,采取報(bào)文新建會(huì)話(huà)檢查原則�,將首包丟棄并等待客戶(hù)重傳,在這種情況下攻擊報(bào)文將被過(guò)濾掉�。針對(duì)其他的一些攻擊方式如ICMP Flood,也可以使用智能流量檢測(cè)技術(shù)����,主動(dòng)進(jìn)行消息的發(fā)送速率�����,超過(guò)閥值的報(bào)文將被認(rèn)為是無(wú)效報(bào)文做丟棄處理并記錄日志��,當(dāng)速率低于設(shè)定的閾值下限后重新恢復(fù)報(bào)文的轉(zhuǎn)發(fā)����,這些方式配合流量自學(xué)習(xí)模型可以很好的識(shí)別攻擊�����。
3.基于流量模型自學(xué)習(xí)的攻擊檢測(cè)方法
對(duì)于部分缺乏狀態(tài)的協(xié)議報(bào)文攻擊�,此時(shí)攻擊報(bào)文屬于正常報(bào)文�����,這種情況下���,很難通過(guò)通用的檢測(cè)技術(shù)對(duì)單個(gè)報(bào)文判斷是否是攻擊報(bào)文�,此時(shí)流量自學(xué)習(xí)模型可以較好的解決這個(gè)問(wèn)題��。
在這個(gè)流量模型學(xué)習(xí)的過(guò)程中,用戶(hù)可以自定義學(xué)習(xí)周期�,周期越長(zhǎng)越能夠準(zhǔn)確反映用戶(hù)的流量分布。通過(guò)一段時(shí)間的學(xué)習(xí)�����,系統(tǒng)將準(zhǔn)確獲取該用戶(hù)在一段時(shí)間內(nèi)的流量分布���,形成包含L4-L7層信息的流量模型����。其參數(shù)包括但不限于:周期內(nèi)的帶寬占用情況�����、L4層協(xié)議端口的流量分布統(tǒng)計(jì)��、TOPN的IP地址流量統(tǒng)計(jì)��、應(yīng)用層協(xié)議的種類(lèi)及帶寬分布���、TCP報(bào)文帶寬速率�����、會(huì)話(huà)連接數(shù)目及每秒新建速率參數(shù)����、ICMP/UDP報(bào)文的速率、ICMP/UDP的請(qǐng)求速率��、HTTP協(xié)議的帶寬大小�����、每秒請(qǐng)求數(shù)�����、最大連接數(shù)���、客戶(hù)端IP地址的分布范圍等�。通過(guò)獲取周期內(nèi)的流量模型���,結(jié)合用戶(hù)的流量規(guī)劃參數(shù),最終形成符合用戶(hù)流量實(shí)際的比對(duì)基線(xiàn)��,并作為后續(xù)判斷網(wǎng)絡(luò)中是否存在異常流量的標(biāo)準(zhǔn)��。流量基線(xiàn)確立后,系統(tǒng)可以實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)的流量并與基線(xiàn)進(jìn)行比對(duì)�����,一旦超出基線(xiàn)標(biāo)準(zhǔn)一定的比例將被定義為異常流量�,此時(shí)系統(tǒng)將生成動(dòng)態(tài)過(guò)濾規(guī)則對(duì)網(wǎng)絡(luò)流量進(jìn)行過(guò)濾和驗(yàn)證,如驗(yàn)證源IP地址的合法性���、對(duì)異常的流量進(jìn)行丟棄�,從而實(shí)現(xiàn)對(duì)DDOS攻擊的防御���。
4.基于云計(jì)算服務(wù)實(shí)現(xiàn)DDOS攻擊防護(hù)
在實(shí)際的DDOS攻擊防護(hù)過(guò)程中��,面對(duì)萬(wàn)兆以上超大規(guī)模的攻擊流量����,攻擊對(duì)象的出口帶寬可能被完全擁塞����,此時(shí)企業(yè)內(nèi)部的DDOS檢測(cè)和防護(hù)措施已經(jīng)無(wú)法解決問(wèn)題,租用運(yùn)營(yíng)商的云計(jì)算DDOS服務(wù)成為現(xiàn)實(shí)的選擇��。為了提供超大規(guī)模的云計(jì)算DDOS攻擊防護(hù)能力,需要從以下3個(gè)步驟進(jìn)行考慮:
首先�����,需要構(gòu)建一個(gè)超高性能的DDOS攻擊檢測(cè)平臺(tái)��,實(shí)現(xiàn)對(duì)用戶(hù)業(yè)務(wù)流量進(jìn)行分析監(jiān)控��。在這個(gè)過(guò)程中�����,需要考慮通過(guò)流量鏡像��、RSPAN���、NetStream等多種技術(shù)�,將需要分析攻擊的用戶(hù)流量引導(dǎo)到DDOS攻擊檢測(cè)平臺(tái)�����,再綜合利用檢測(cè)平臺(tái)的各種技術(shù)最終實(shí)現(xiàn)對(duì)用戶(hù)流量的攻擊檢測(cè)��。其次���,當(dāng)攻擊檢測(cè)平臺(tái)探測(cè)到疑似異常攻擊流量后���,將借助云計(jì)算DDOS服務(wù)管理中心,通過(guò)類(lèi)似BGP路由發(fā)布等方式����,將用戶(hù)的疑似攻擊流量自動(dòng)牽引到服務(wù)商的流量清洗中心進(jìn)行惡意流量清除。最后����,攻擊清除后的合法流量將通過(guò)策略路由、MPLS VPN���、雙鏈路等多種方式回注到原有網(wǎng)絡(luò)��,并上報(bào)清洗日志到業(yè)務(wù)管理中心生成各種攻擊報(bào)告�����,以便提供給云計(jì)算DDOS服務(wù)的租戶(hù)審計(jì)�。綜合上述過(guò)程�,可以看到超高的攻擊檢測(cè)性能和城域網(wǎng)內(nèi)部就地清除攻擊報(bào)文的能力,是云計(jì)算服務(wù)商的優(yōu)勢(shì)所在�。
當(dāng)然,在運(yùn)營(yíng)商搭建高性能攻擊檢測(cè)平臺(tái)的過(guò)程中,除了上述提到的一些攻擊檢測(cè)方式
外����,云計(jì)算服務(wù)商還可以充分利用云安全檢測(cè)機(jī)制來(lái)識(shí)別攻擊。比較典型的有基于IP信譽(yù)和 惡意URL地址庫(kù)的識(shí)別機(jī)制����。對(duì)于惡意的IP地址和和Wwebsite URL鏈接訪(fǎng)問(wèn)流量直接攔截丟棄,最大限度提升防護(hù)效率���。
結(jié)束語(yǔ)
隨著企業(yè)數(shù)據(jù)中心云計(jì)算化的進(jìn)一步發(fā)展以及云計(jì)算服務(wù)商IaaS/SaaS等業(yè)務(wù)模式的成熟并陸續(xù)商用��,云計(jì)算數(shù)據(jù)中心的業(yè)務(wù)應(yīng)用將更加豐富多樣��,由此導(dǎo)致的DDOS安全攻擊仍將是熱點(diǎn)所在�;同時(shí)面對(duì)移動(dòng)互聯(lián)網(wǎng)應(yīng)用的突飛猛進(jìn)���,移動(dòng)智能終端和應(yīng)用的不斷豐富��,黑客將會(huì)在移動(dòng)互聯(lián)網(wǎng)嗅到更多的利益引誘��,并可能開(kāi)始嘗試發(fā)起DDOS攻擊���;運(yùn)營(yíng)商和云計(jì)算服務(wù)商需要更多的關(guān)注DDOS的攻擊危害�,綜合多種安全防護(hù)手段�,并通過(guò)云計(jì)算服務(wù)DDOS服務(wù)租用的方式進(jìn)行布局,從這個(gè)角度看�����,在云計(jì)算IaaS建設(shè)過(guò)程中����,將DDOS服務(wù)作為基礎(chǔ)架構(gòu)服務(wù)的一部分����,是順應(yīng)形勢(shì)的最佳選擇。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
