如何防御DDoS对数据中心的攻击?

  Arbor Networks公司的">Darren Anstee详细介绍了越来越严重的分布式拒绝服务(DDoS)威胁,并且建议数据中心的管理人员如何着手构建一种采用多层次防御的解决方案,以应对DDoS威胁。

  防火墙在失去功效。这是独立安全测试机构NSS Labs的一项近期调查得出的结论。调查发现,六款防火墙产品在接受稳定性测试时,有三款未能发挥正常功效。测试的这些防火墙就包括业界巨头的产品。

  由于防火墙一贯是确保边界安全的公认基础,这些测试结果对于数据中心的管理人员来说特别让人震惊,要考虑到这一点:他们在服务可用性上面临的威胁比以前任何时候都要来得严重、普遍。

  比如说,Arbor Networks公司的第六份年度《全球基础设施安全报告》表明,2010年,源自僵尸网络的容量耗尽攻击和应用层分布式拒绝服务(DDoS)攻击仍然是网络运营人员在将来面临的最重大的威胁。

  越来越严重的DDoS威胁

  DDoS攻击可以分为三类:容量耗尽攻击(volumetric attack),这种攻击企图耗尽转发或链接容量;状态表耗尽攻击(state-exhaustion attacks),这种攻击企图耗尽基础设施和服务器里面的状态表;以及应用层攻击,这种攻击企图耗尽应用层资源。在所有这些攻击中,攻击者都是企图阻止真正的用户访问某个特定的网络、服务和应用程序。

  虽然DDoS攻击存在的历史已超过了十年,但DDoS直到2010年12月才引起主流媒体的注意,当时它们摧垮了维基解密网站。随后,同情维基解密网站的人针对包括万士达卡(Mastercard)、贝宝(PayPal)、维萨(Visa)及其他知名机构在内的诸多目标发动了反攻。

  据Arbor Networks公司在今年早些时候发布的《全球基础设施安全报告》显示,耗尽资源容量的DDoS攻击在2010年首次突破100Gbps大关。简而言之,DDoS攻击消耗的资源变得多了许多。报告还披露,可能也是更让人担忧的是,针对数据中心的应用层DDoS攻击越来越频繁、越来越高明,给数据中心运营造成的影响也越来越大。

  这种攻击给数据中心带来了怎样的影响?

  该报告披露了互联网数据中心(IDC)运营人员的发现结果;他们声称,应用层DDoS攻击导致了长时间的停运,增加了运营开支(OPEX)、客户流失和收入损失。接受《全球基础设施安全报告》调查的对象中绝大多数(77%)发现过应用层攻击,而近一半(49%)遇到过防火墙或入侵防御系统(IPS)因DDoS攻击而失灵的情况。

  尽管IPS、防火墙及其他安全产品是多层次防御战略的必要组成部分,但它们解决不了DDoS问题。防火墙和IPS的目的在于保护网络边界,以防被渗透、被攻破,并且是企业机构安全架构中的策略执行点。它们利用状态流量检查技术来执行网络策略、确保完整性。

  遗憾的是,防火墙或IPS所能维护的状态却是有限的——攻击者也知道这一点;所以当设备里面的资源被耗尽后,可能造成的结果是流量丢失、设备被锁死以及可能崩溃。

  对于数据中心的运营人员来说,应用层DDoS也是一大威胁,因为数据中心无异于有好多目标可以下手的环境。防火墙和IPS一般无法检测或阻止应用层DDoS攻击,因而这时需要其他替代的解决方案。

  怎样才能减小风险?

  作为一个最佳实践,多层次防御已得到了安全行业的接受和认可;为了应对日益猖獗的DDoS威胁,需要同样这种方法。互联网服务提供商/管理安全服务提供商(ISP/MSSP)必须阻止容量耗尽攻击和大规模的状态表耗尽攻击,但是发现应用层DDoS攻击的工作一般需要在ISP的边缘或者数据中心内部来完成。那是由于,要发现应用层DDoS攻击比较困难,这种攻击常常不会被为了监测承载几十或几百千兆位流量的大型ISP网络而部署的检测解决方案所发现。

  位于数据中心边界的DDoS检测和缓解解决方案应该能够提供基于数据包的检测功能,能够立即提供保护,防范各种各样的DDoS攻击;然而,ISP/MSSP另外需要云解决方案,那样才能在数据中心的外面阻止高带宽攻击、容量耗尽攻击和状态表耗尽攻击,它们可能会耗尽通向上游ISP的链接。

  在理想环境下,这两种解决方案会通过信令技术来协同工作,从而提供完全自动化的多层次防御机制,以防范DDoS攻击。

  为了获得最佳效果,数据中心的运营人员就必须与ISP密切配合,提供这种多管齐下的解决方案,为客户设计一款可以保护服务、远离DDoS攻击的解决方案——无论这些客户是公司企业,还是管理安全服务提供商。

  原文地址:http://www.datacenterdynamics.com/focus/archive/2011/09/securing-the-data-center

(作者:布加迪编译责任编辑:许京杨)

时间: 2024-09-20 00:49:49

如何防御DDoS对数据中心的攻击?的相关文章

如何防御DDoS对数据中心攻击

Arbor Networks公司的Darren Anstee详细介绍了越来越严重的分布式拒绝服务(DDoS)威胁,并且建议数据中心的管理人员如何着手构建一种采用多层次防御的解决方案,以应对DDoS威胁. 防火墙在失去功效.这是独立安全测试机构NSS Labs的一项近期调查得出的结论.调查发现,六款防火墙产品在接受稳定性测试时,有三款未能发挥正常功效.测试的这些防火墙就包括业界巨头的产品. 由于防火墙一贯是确保边界安全的公认基础,这些测试结果对于数据中心的管理人员来说特别让人震惊,要考虑到这一点:

汉柏推出了基于云计算的入侵防御系统,与传统防火墙组合为企业数据中心提供深度防御的最优选择

随着信息化和网络的普及,尤其是云计算.数据中心及互联网的发展,针对企业.机构数据中心的蠕虫病毒.漏洞攻击.注入攻击.跨站攻击.DDoS攻击等也有常态化的趋势,极大困扰着用户.尤其,云计算.各种新型互联网应用的普及,以及智能终端的多样性和网络通道的多元化,导致各种新型的攻击愈加繁杂,使得危害和破坏变得更加隐蔽.用户除了部署常规安全防御系统外,更需要一种在线部署的产品,来对各种单一或混合攻击实现实时地检测和阻断,同时要在保证高性能处理时避免误报和漏报发生. 针对数据中心入侵防御的安全需求,汉柏推出了

数据中心安全防御大法大放送

数据中心是在不断变化的,尤其现在应用需求多种多样,数据中心需要不断地去变化,才能适应这些应用,和传统的数据中心不同,现在数据中心里应用最普及的就是虚拟化技术,数据中心虚拟化后,安全问题就已突显出来.原来数据中心每个物理环境相对独立,安全产品保护服务器和应用,安全防御还可控,但虚拟化来了后,所有虚拟机都共享资源,虚拟机和应用程序随时可能移动或变更,这给安全防御带来极大困难,很多人对数据中心的安全能力表示怀疑,尤其相比以往,数据中心类似发生数据泄漏的事件明显要更多,如何挽回人们的信任将关系到数据中心

数据中心安全防御大法

数据中心是在不断变化的,尤其现在应用需求多种多样,数据中心需要不断地去变化,才能适应这些应用,和传统的数据中心不同,现在数据中心里应用最普及的就是虚拟化技术,数据中心虚拟化后,安全问题就已突显出来.原来数据中心每个物理环境相对独立,安全产品保护服务器和应用,安全防御还可控,但虚拟化来了后,所有虚拟机都共享资源,虚拟机和应用程序随时可能移动或变更,这给安全防御带来极大困难,很多人对数据中心的安全能力表示怀疑,尤其相比以往,数据中心类似发生数据泄漏的事件明显要更多,如何挽回人们的信任将关系到数据中心

数据中心如何扛住网络攻击?安全专家教你打造钢铁防线

继抵御威胁之后,怎样保障数据中心和国家关键基础设施(NCI)安全,便是下一步要解决的问题.谈到数据中心,Bitdefender首席安全策略师卡塔林·科索伊(Catalin Cosoi)认为,成功的防护和运营,建立在对人.过程.技术及其运作物理环境的理解和管理上. 对数据中心运行参数的持续可靠的监控,以及定期的漏洞评估,是两个非常重要的防护措施,其他还有政府和行业间涉及跨部门风险分析的数据共享. 数据中心设计和机电工程(MEP)关键系统风险分析公司 i3 Solutions Group 董事长艾德

数据中心的边缘效应论

经过这些年的发展,数据中心已经不再是高高在上的,而是要更贴近用户.云计算和基于互联网内容的"爆炸"也推动我们转移到互联网的"边缘",更靠近用户,当然如果只是进行一般的浏览,他很难注意到靠近还是远离边缘.但是,对于某种类型的关键任务或实时浏览,例如视频.基于云的应用程序或者游戏,延迟性会限制降低性能,并提高安全风险,这就能理解为什么这些大型的互联网公司要在世界各地来建设数据中心,这些都可以称为是公司的边缘数据中心,这样可以确保本地用户访问可以直接访问边缘数据中心,提升

如何衡量数据中心的高可用及容灾水平

数据中心的好与差有很多评判的方法,很多评价机构都是将多方面的因素考虑进来,对每种因素进行评分,再根据经验对每种因素给定权重,最终得出数据中心的评价结果,按照预先定义的数据中心等级,根据评价结果给数据中心定级.不少的数据中心评价机构尽量保证数据的真实性和权威性,一定要将数据中心分个三六九等,这其中就有两项非常重要的参数,就是一个数据中心的高可用性和数据中心的容灾能力.往往这两项会在整个数据中心评价中占据相当大的权重,很多数据中心在建设时考虑最多的也是这两个方面.下面就展开来谈谈高可用性及容灾. 何

【博文推荐】如何做好大型数据中心的运维

什么叫数据中心?维基百科给出的定义是"数据中心是一整套复杂的设施.它不仅仅包括计算机系统和其它与之配套的设备(例如通信和存储系统),还包含冗余的数据通信连接.环境控制设备.监控设备以及各种安全装置".在云大行其道的今天,随着数据中心建设规模的不断扩大,新技术的层出不穷,数据中心变得越来越复杂.大型数据中心往往是由很多功能不一的单元系统组成,其运维工作需要具备方方面面的知识,包括硬件.网络.服务器.存储.安全以及业务上的东西,需要一体化联动地去做好运维工作. 当一个数据中心的规模非常大,

Fortinet妥善保护软件定义数据中心安全

Fortinet今天发布了FortiGate VMX下一代防火墙与内网隔离防火墙(NGFW/ISFW)安全平台.FortiGate VMX的VMware NSX虚拟化平台可支持企业在软件定义的数据中心(SDDC:Software-Defined Data Center)中自动部署安全服务. 高级安全服务之于动态数据中心 通过与VMware合作,Fortinet开发的FortiGate VMX将领先的下一代安全防护水平平滑.完整地迁移到VMware NSX网络虚拟化平台中,用户能够在其数据中心的环