云计算的劲敌拒绝服务攻击(DDOS)

DDOS全名是Distributed Denial of service (分布式拒绝服务攻击),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击,DDOS 最早可追溯到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模。而目前云计算拒绝服务攻击这种老套的网络犯罪如今成为了数据中心管理人员所需面临的新威胁。

  随着越来越多的公司开始使用虚拟化数据中心和云服务,企业基础设施出现了新的弱点。与此同时,云计算拒绝服务攻击也开始由原来利用大量数据流进行暴力式攻击转变为针对基础应用程序的技术性攻击。

  在云计算中,公司需要担心的不仅仅是对他们资源的攻击,还需要担心对主机托管租户的攻击。因为随着多租户的普及,针对一个公司的攻击可能会影响到另外一些虽然没有联系的,但也采用主机托管的公司的服务。

  本期我们讨论的话题是:云计算怎样打败劲敌DDOS,说出你的想法即可。

  云的实质

  从应用的角度讲,云计算并不是技术的革命,而是服务方式的更新,其实质是一种统一的集中的服务提供方式。这种服务和应用提供方式的转变与计算技术发展初期集中计算模式有本质区别,它是建立在计算技术、网络技术以及业务应用充分发展的基础之上的。尽管云计算需要一些新的技术手段来支持它的实现,但根本上说,云计算改变的不是技术而是服务及应用的模式,而且这种改变将是深远的。即便它不能最终如很多人期望的那样成功,也会对未来的信息技术发展产生重要影响。

  云端的安全

  云端安全一直是云计算安全问题的焦点,这一方面已经有很多专家学者和产业界的人士从各种角度给予了分析。当然,也有很多人认为云端安全问题没有想象的那么严重。就我个人来看,云端安全问题包括两个层面,一是技术层面安全,另一个是社会层面的安全。技术层面的安全包括: 系统安全、数据安全、内容安全和使用安全,同时更强调系统的可靠性、可用性和安全性。从安全问题在云端系统中的分布来看,云端安全可以包括基础架构安全、虚拟化技术安全、云存储安全、云应用安全等在内的诸多问题。技术层面的安全应该说并不难解决,我相信云端存在的安全问题不会比我们大家广泛使用的操作系统更多。社会层面的安全其实是云计算及云服务所面临的最大挑战和最难逾越的障碍。这里面包括政府的相关法律法规是否完善,相关的纠纷仲裁以及取证如何实施等等,其实质上是考验更深层次的社会信任和信誉机制是否成熟。缺乏信任以及信任无法获得有效监督和监控都将严重影响云计算的广泛应用和部署。

  云端基础架构的安全隐患

  云计算的安全更多的取决于云计算基础架构。云计算部署之初,直接采用从底层开始系统设计和开发的云计算基础架构还是少数的,更多的是近似的云基础架构,也就是说大多数云基础架构没有深层次的考虑应用和服务的需求和特点。这种情况下,应该说,整个云计算基础架构的可靠性、可用性都存在一些问题,当然也包括安全性。这样的系统更容易遭受到攻击,不仅仅包括一切现有网络应用中存在的攻击行为和方式,而且由于整个基础架构上的不完善,更多的漏洞和缺陷将被利用,其所带来的损失和危害也更大。应对这些安全隐患,需要更加重视云基础架构的全面的系统的设计,在必要的基础服务设施及内部网络上引入有针对性的技术和产品。额外需要指出的一点是,从国家安全和利益这个角度上讲,我们需要有自主知识产权的基础架构技术和产品,这一点非常重要。

  应对云端虚拟化安全问题

  云端虚拟化是构建云基础架构平台的重要手段,也正是因为虚拟化的重要性,它本身的安全问题也是云基础架构平台所需要重点考虑的。虚拟化在某种程度上会带来某些安全特性的提升,如对用户行为进行了一定程度上的隔离。但另一方面,它所引入的风险也不容小视。虚拟环境下很多传统的安全防护产品将失去作用,而一旦一个虚拟节点遭到入侵,将给整个云基础架构带来致命的威胁。

  云端虚拟化安全问题的解决还要更多的依赖于有针对性的安全技术和产品,这方面的未来市场需求还是很大的。

  解读云计算安全风险

  云计算面临的安全风险可以从两个角度来分析,一是从用户的角度,即用户在使用云的时候所面临的安全风险;另一个是从云提供者的角度,即云服务商在提供服务时面临的安全风险。

  从用户的角度来看,在云环境下,用户对于应用运行和数据存储的物理环境缺乏必要管理和控制权限,所谓安全完全建立在对云提供者的信任基础之上,而没有监控和审核的信任往往又是最不安全的。因此,用户必须充分意识到云计算这种服务模式固有的安全风险,特别是在相关的法律法规还不健全,第三方监督还没有有效建立的情况下,必须考虑与云服务提供者达成详细的有约束力的契约。

  从云提供者的角度来看,必须要应对用户/数据隔离失效风险、云服务可靠性及可用性风险等。除此之外,云提供者还必须要应对恶意用户对于云的滥用风险。为了规避以上风险,云提供者必须对云进行系统、全面的安全加固,不仅要在网络层面,在云中部署针对性的安全防护产品,更需要从系统层面,建立完善的密钥管理、权限管理、认证服务等安全机制。$ w/ J( D: q4 A

  解决云存储安全风险

  用户使用云存储时所面临的主要安全风险包括数据泄漏、数据丢失等。与云计算相似,云存储也是构建在共享架构之上,由于数据隔离的措施还不够有效,对于数据的存储、访问、通信、销毁等环节缺乏安全监控,存在一定的安全隐患,导致数据存在丢失和泄漏的可能。同时在数据丢失的情况下,也有可能面临因数据无法及时恢复所带来的风险。以上这些风险主要是由于云服务提供者不能给用户提供足够的安全保障,因此对于这部分风险,用户也可以通过与云服务提供者签署数据安全相关的服务保障协议来将化解。

  针对用户面临的数据泄漏风险、数据丢失风险等,云服务提供者需采取必要的数据隔离、加密、备份、分权分级管理等措施,以保证云存储服务的安全性。

  云应用里的安全隐患

  云应用里面存在安全隐患这是必然的。任何一种应用都是流程和逻辑的体现,而大部分应用是不能够准确无误地再现流程和逻辑的,因此必然会存在着缺陷和漏洞,这些缺陷和漏洞也就成为了最大的安全隐患。可能更另人担忧的是这种应用上的隐患与云基础架构本身的安全问题叠加,会带来更加复杂的问题。能否实现云应用和云基础架构的安全逻辑分割也许是未来可以考虑的方向之一,对于云计算安全问题的解决会起到简化作用。

  获得安全的云服务

  前面谈到,云服务面临两个方面的安全挑战,技术上的和社会层面上的。获得安全的云服务要分别从这两个方面着手。社会层面上,要尽快建立相关的法律法规。当然法律法规的建立并不能根本解决社会信任和信誉机制建立的问题,但可以促进信任和信誉机制的成熟。没有法律法规的保障,我个人认为云服务的安全只能是一个美好的愿望。而从技术层面上看,要针对云服务的特点,研究专门的安全防护技术,开发有针对性的云服务及云应用的安全产品;同时,还需要针对法律法规的相关规定,为法律法规的实施提供相应的技术支持,例如,纠纷出现时,取证以及仲裁所需要的法证技术及产品等。

  云端确保用户数据和隐私安全

  用户的数据和隐私安全是云计算领域最早提出的,也是争论最多的安全问题。这种关切其实很容易被人理解。它很类似于我们经常接触到的存款问题。我们把钱存到银行,怎样确保我们的钱不会因为银行倒闭或者某些犯罪行为而被盗用或者丢失?怎样确保我的财产信息不被泄漏?如果我们研究一下现有的银行体系就会给我们提供很多启示。首先,要有法律法规来应对,有了法律法规才可以为用户数据和隐私提供一个有力的保障手段;其次,要有监督审核机制来防范。用户数据和隐私交给云服务提供商,并不意味着不需要监督。无数经验证明,完全建立在信任和信誉基础之上的安全是最不安全的。因此,云服务提供商以及云基础设施提供者需要为第三方提供可靠的有效的监督审核渠道和技术手段;最后,还要有一个查询和确认机制。这种查询和确认机制可以让数据和信息所有者,及时的了解自己所拥用数据的安全状态。上述这些方面,其实在技术上都需要一些新的方法和手段来支撑。包括数据的加密,权限的认证,数据处理流程的监控以及取证技术的支持等等。

  私有云、公共云、混合云的安全差异性

  这三种云在安全问题上还是有差异的。私有云的安全问题与传统企业或组织内部的信息资产安全问题差别不大。以往存在的安全威胁也是私有云的安全威胁。而私有云的建立一定程度上会提高企业或组织内部的信息资产安全。因为,私有云很大程度上解决了企业或组织内部经常存在的数据分散不能有效集中管理所带来的风险。

  相对于私有云,公共云的安全问题将更为突出。不仅仅要面对私有云所面对的安全威胁和风险,而且涉及到多个云使用者之间的逻辑安全分割及防护的问题。混合云的安全问题与公共云安全问题类似。

  私有云、公共云、混合云的安全重点

  私有云的安全重点在于防止云基础设施及系统受到入侵和外部攻击。而公共云的安全重点在于内部服务的逻辑安全分割以及数据和隐私等信息的泄漏。混合云的安全防护需要同时考虑私有和公用两种情景下的防范重点。

  云计算环境下的网络及服务器、CPU取证

  云计算环境的网络和计算机法证技术与传统环境下的取证技术相比,应该说有很大区别。目前情况下,计算机犯罪的证据相对来说还是比较集中的,便于收集及取证。我们所接触到的计算机法证技术和产品更多的是面向单一设备的。

  在云计算环境下,计算机犯罪包括网络犯罪的行为踪迹将更为分散,证据难于收集。我们可以想象,在大规模的云计算基础架构平台上去收集非法行为的踪迹和证据,其复杂度是很难想象的。而这种取证又是确保云安全的必要手段。因此,我个人认为,随着国家相关法律法规的出台,相关的取证技术和产品还是有很大的市场需求的。

  云计算及云安全标准.

  目前云计算的标准化情况还存在很大程度的滞后。原因有很多,主要是云计算技术、服务及应用上还存在着各种不同的观点和看法。这种情况也侧面反应了云计算的真正成熟和商用还有相当长的路要走。至于云安全相关的标准化情况则更为不乐观。安全技术的发展从时间轴上总是要滞后于应用的发展,这也是一个客观现实。

  云端安全产品与非云端安全产品的区别

  就目前市场现状来看,我个人认为,所谓的云端安全产品和非云端安全产品从本质上看不到太多的区别,包括功能、性能以及架构。很多技术和产品还停留在概念验证的阶段,也不排除一些炒作的成分在里面。单纯从技术上讲,未来的云端安全产品和非云端安全产品在功能、性能和架构上应该说还是具有很大区别的,需要认真从云服务及云应用的实践中挖掘安全特性及需求,并提出系统的解决方案,而不应该在现有安全产品上进行简单升级和改造。

  云端安全产品的部署

  云端的基础架构和上层的应用系统是需要重点部署安全产品的位置。云端的基础架构中,在网关上部署具有虚拟化识别能力的防火墙,减少对网关内虚拟服务器的攻击;部署专用的入侵检测系统,对虚拟服务器的非法入侵进行检测。在上层的应用系统中,部署对系统漏洞、病毒、木马和恶意软件进行检测的产品,避免应用服务带来的安全隐患;对应用系统中存储的数据进行加解密操作,采用不同的加解密算法,防止数据被篡改。

(责任编辑:刘芬)

时间: 2024-10-23 08:03:58

云计算的劲敌拒绝服务攻击(DDOS)的相关文章

巧妙的化解分布式拒绝服务攻击(DDoS)

对于在线企业特别是电信运营商数据中心网络来说,分布式拒绝服务攻击(DDoS)的出现无疑是一场灾难,对于它的有效防护一直是网络应用中的一个难题. 一直以来DDoS是人们非常头疼的一个问题 ,它是一种很难用传统办法去防护的攻击手段,除了服务器外,带宽也是它的攻击目标.和交通堵塞一样,DDoS已经成为一种网络公害. 传统防护:有心无力 防止DDoS攻击,比较常用的有黑洞法.设置路由访问控制列表过滤和串联防火墙安全设备等几种 黑洞法:具体做法是当服务器遭受攻击之后,在网络当中设置访问控制,将所有的流量放

该如何抵御一场无情的分布式拒绝服务攻击(DDoS)

2015年5月17日星期天,网络犯罪分子向我所在的企业--HotSchedules公司,负责为来自餐厅.医院以及零售行业的超过200万员工提供云服务--发动了一场恶毒的分布式拒绝服务攻击.从星期天夜间到星期二下午,这些恶意人士在长达45个小时内阻挠着用户正常检查并管理自己的工作规划--而且从未透露其攻击动机. 虽然这对于每一位CEO来讲都是一场令人难忘的噩梦,但对我个人而言这却成了一次宝贵的经验并值得为公司的整场顽强对抗感到自豪.HotSchedules在过去16年当中曾成功化解过多次网络攻击,

分布式拒绝服务攻击(DDoS)原理及防范(2)

下面是我在实验室中模拟的一次Syn Flood攻击的实际过程 这一个局域网环境,只有一台攻击机(PIII667/128/mandrake),被攻击的是一台Solaris 8.0 (spark)的主机,网络设备是Cisco的百兆交换机.这是在攻击并未进行之前,在Solaris上进行snoop的记录,snoop与tcpdump等网络监听工具一样,也是一个很好的网络抓包与分析的工具.可以看到攻击之前,目标主机上接到的基本上都是一些普通的网络包. --? -> (broadcast) ETHER Typ

拒绝服务攻击(DDOS)现状分析

拒绝效劳技能的立异现已根本尘埃落定,而上个世纪结尾十年的创造也逐步悠远.可是,跟着宽带接入.自动化和如今家庭核算机功用的日益强壮,使得对拒绝效劳进犯的研讨有些剩余.特别是当咱们发现一些本已在90年代末隐姓埋名的陈腐的进犯方法,(例如land ,其运用类似的源和方针 IP 地址和端口发送 UDP 信息包)这些进犯技能 如今又东山再起时,这个定论就愈加清楚明了.在这一方面仅有的前进就是可以建议并行使命,然后可以颠末简略的 486 处置器所无法完成的方法来明显进步进犯强度. 另一个要思考的重点是事实上

分布式拒绝服务攻击(DDoS)原理

DoS的进犯方法有许多种,最根本的DoS进犯就是运用合理的效劳恳求来占用过多的效劳资源,从而使合法用户无法得到效劳的呼应. DDoS进犯手法是在传统的DoS进犯根底之上发生的一类进犯方法.单一的DoS进犯通常是选用一对一方法的,当进犯方针CPU速度低.内存小或许网络带宽小等等各项功能指标不高它的作用是显著的.跟着计算机与网络技能的开展,计算机的处置才干迅速增长,内存大大添加,一同也呈现了千兆级另外网络,这使得DoS进犯的艰难程度加大了 - 方对准歹意进犯包的"消化才干"加强了不少,例如

分布式拒绝攻击(DDOS)软件tfn2k攻防

分布式拒绝攻击(DDOS)软件tfn2k攻防 首先,我写这篇文章的目的,并不是我想成为什么hacker之类,而且我不并不鼓励任何人利用它来做一些有损他人的事情,我只是想多一 些人关注网络安全,共同研究并防御DOS.因为我是深受其害:(,所以,这篇文章仅用于技术参考,供大家研究DDOS防御之用.如果你利用它来 做一些不合法的事情,那结果与我无关. 拒绝服务攻击(DOS,Denial Of Service)可以指任何使服务不能正常提供的操作.如软件bug,操作失误等.不过现在因为失误操作而造成 的d

说说拒绝服务攻击的云计算版本

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 在网络安全问题中拒绝服务DoS攻击,哪怕是分布式的DDoS,一点儿也不酷.分布式拒绝服务攻击是发动广大"群众"对准一台服务器(多数情况是一台Web服务器)猛发服务请求,目的是让它瘫痪(达到100%的CPU使用率,耗尽内存,拥塞网络流量)从而无法提供正常服务.说这样攻击不酷,是因为攻击者不能通过攻击得到什么重要的秘密信息或明

DDoS拒绝服务攻击和安全防范技术

一. DDoS拒绝服务攻击简介 "拒绝服务(Denial-Of-Service)攻击就是消耗目标主机或者网络的资源,从而干扰或者瘫痪其为合法用户提供的服务."国际权威机构"Security FAQ"给出的定义. DDOS则是利用多台计算机机,采用了分布式对单个或者多个目标同时发起DoS攻击.其特点是:目标是"瘫痪敌人",而不是传统的破坏和窃密;利用国际互联网遍布全球的计算机发起攻击,难于追踪. 目前DDoS攻击方式已经发展成为一个非常严峻的公共安

抗拒绝服务攻击(DDoS):是疏还是堵?

抗DDoS(分布式拒绝服务攻击)攻击系统是针对业务系统的稳定.持续运行以及网络带宽的高可用率提供防护能力进行维护.然而,自1999年Yahoo.eBay等电子商务网站遭到拒绝服务攻击之后,DDoS就成为Internet上一种新兴的安全威胁,其危害巨大且防护极为困难. 尤其是随着黑客技术的不断发展,DDoS攻击更是出现了一些新的动向和趋势: 高负载-DDoS攻击通过和蠕虫.Botnet相结合,具有了一定的自动传播.集中受控.分布式攻击的特征,由于感染主机数量众多,所以DDoS攻击可以制造出高达1G