CobiNet(寧波)推薦文章:
黑客并不只是竊取數(shù)據(jù)那么簡單;他們還可能使用某些垃圾郵件的請(qǐng)求和流量來讓應(yīng)用運(yùn)行崩潰�?���?梢允褂靡恍┕ぞ吆图夹g(shù)來保護(hù)您的云免受DDoS攻擊的危害。
公共云服務(wù)并不是IT世界中的世外桃源���,它無法對(duì)安全方面的威脅免疫�����,它一樣會(huì)受到那些致命攻擊的入侵�����,其中就包括了拒絕服務(wù)攻擊���。即便攻擊者無法入侵某個(gè)工作負(fù)載或者竊取存儲(chǔ)在公共云中的數(shù)據(jù),他們?nèi)匀荒軌蛲ㄟ^超量的合法服務(wù)請(qǐng)求或流量來堵塞網(wǎng)絡(luò)��,從而降低云應(yīng)用的運(yùn)行性能�����,或者完全禁止某個(gè)應(yīng)用或服務(wù)���。
雖然公共云用戶無法防止每一次進(jìn)攻���,但卻可以采用一些重要措施來降低拒絕服務(wù)(DoS)或分布式拒絕服務(wù)(DDoS)攻擊的負(fù)面影響��。一個(gè)強(qiáng)大的云DDoS和Dos保護(hù)計(jì)劃可保護(hù)您的基礎(chǔ)設(shè)施����,以免在惡意攻擊壓力下岌岌可危�。
什么是云計(jì)算中的Dos或DDoS攻擊?
在云中,每一個(gè)應(yīng)用都是在一個(gè)網(wǎng)絡(luò)���、計(jì)算和存儲(chǔ)的基礎(chǔ)設(shè)施中運(yùn)行的。而其中每一種資源都有著一個(gè)最大的可用上限���。例如���,一臺(tái)網(wǎng)絡(luò)交換機(jī)每秒鐘只能轉(zhuǎn)發(fā)和擴(kuò)散一定數(shù)量的數(shù)據(jù)包。當(dāng)基礎(chǔ)設(shè)施收到更多的請(qǐng)求或流量超出其應(yīng)用限值時(shí)���,應(yīng)用程序就會(huì)忽略那些多余的請(qǐng)求并拒絕服務(wù)����。
對(duì)于任何計(jì)算基礎(chǔ)設(shè)施來說,這種拒絕服務(wù)行為都是一個(gè)正常的行為��。但是�����,DoS攻擊就是通過有意識(shí)地使用超大流量請(qǐng)求消耗基礎(chǔ)設(shè)施的可用資源來惡意擴(kuò)大這種拒絕服務(wù)的負(fù)面影響��。如果攻擊成功���,DoS攻擊可能會(huì)讓一個(gè)應(yīng)用(甚至整個(gè)計(jì)算基礎(chǔ)設(shè)施)在數(shù)小時(shí)����、數(shù)天乃至數(shù)周時(shí)間內(nèi)都無法被訪問�����。
一個(gè)DoS攻擊通常都是從同一個(gè)IP地址發(fā)出的����,所以使用防火墻技術(shù)發(fā)現(xiàn)并禁止其訪問是相對(duì)比較容易的。而DDoS攻擊則不同�,它常常比DoS攻擊要更加的危險(xiǎn),因?yàn)樗l(fā)起攻擊的IP數(shù)量更多�����,從而讓管理人員更難以識(shí)別它們,更不用說如何來防范它們了�。
DoS或DDoS攻擊對(duì)云應(yīng)用的影響效果與對(duì)本地部署應(yīng)用的影響相類似;即,運(yùn)行性能下降����,應(yīng)用可能無法訪問。使用云監(jiān)控資源���,例如公共云供應(yīng)商所提供的監(jiān)控工具或日志記錄工具就可發(fā)現(xiàn)并解決這一問題�����。
什么工具可以有助于防范云DDoS或DoS攻擊?
針對(duì)惡意服務(wù)請(qǐng)求的最基本云DDoS和DoS保護(hù)措施就是傳統(tǒng)的防火墻�����。但是,防火墻本身的管理與配置也是一個(gè)難題����,而且非常耗時(shí),特別對(duì)于DDoS攻擊來說尤是如此���?�;谠频膽?yīng)用程序讓這個(gè)問題變得更復(fù)雜了��,因?yàn)槠髽I(yè)用戶幾乎或根本就沒有辦法了解公共云中的流量信息�。
這一狀況也推動(dòng)了保護(hù)本地與云應(yīng)用程序的第三方服務(wù)的發(fā)展。市場(chǎng)上有著無數(shù)的云DDoS保護(hù)工具與服務(wù)�,其中包括了來自于Imperva、CloudFlare��、Akamai以及Verisign等公司的產(chǎn)品�。這些服務(wù)通常都是以代理服務(wù)器形式工作:一個(gè)應(yīng)用程序的流量首先被送入代理服務(wù),由這個(gè)代理服務(wù)來識(shí)別和過濾惡意服務(wù)請(qǐng)求����。然后,剩下的非惡意服務(wù)請(qǐng)求就會(huì)被送至應(yīng)用程序��。
采用第三方云DDoS或DoS保護(hù)服務(wù)的企業(yè)用戶必須同時(shí)考慮可用性和可靠性兩方面;如果這個(gè)服務(wù)出現(xiàn)故障�,那么受保護(hù)的應(yīng)用程序也可能變得不可用。
谷歌選擇使用SDN來應(yīng)對(duì)DoS攻擊
不同的供應(yīng)商采用不同的措施來幫助用戶保護(hù)他們存儲(chǔ)在云中的數(shù)據(jù)���。例如�����,谷歌公司有一個(gè)可用于提供��、配置和管理虛擬網(wǎng)絡(luò)的Andromeda�����,這是一個(gè)軟件定義網(wǎng)絡(luò)���。其目的在于創(chuàng)建一個(gè)安全���、高性能和可編程的環(huán)境,以用于托管谷歌計(jì)算引擎的虛擬機(jī)���。
Andromeda架構(gòu)包括了一個(gè)DDoS攻擊保護(hù)措施�,同時(shí)還提供了透明負(fù)載均衡���、路由�����、訪問控制列表和防火墻,上述所有這些功能都使用了底層的Andromeda API和基礎(chǔ)設(shè)施��。
用戶還能如何防止云DDoS或DoS攻擊?
雖然目前還沒有哪一個(gè)服務(wù)或工具能夠確保完全防范DoS和DDoS攻擊,但還是有一些應(yīng)用設(shè)計(jì)和部署策略能夠有助于減少這些惡意攻擊的負(fù)面影響�,特別是當(dāng)在公共云中部署工作負(fù)載時(shí)尤是如此。
充分利用公共云平臺(tái)(例如谷歌云平臺(tái)或亞馬遜網(wǎng)絡(luò)服務(wù))中的可用冗余資源�,并在多個(gè)地區(qū)或區(qū)域部署實(shí)例。如果一個(gè)地區(qū)或區(qū)域因中斷或攻擊事件受到影響��,那么用戶仍然有可以正常接收服務(wù)請(qǐng)求并做出響應(yīng)的替代實(shí)例��。
應(yīng)當(dāng)向軟件開發(fā)人員和云供應(yīng)商工程師咨詢���,設(shè)計(jì)出一個(gè)可以為每一個(gè)特定應(yīng)用程序提供所需彈性的云架構(gòu)����。請(qǐng)記住�����,所有的應(yīng)用都是不一樣的����,其中只有最關(guān)鍵任務(wù)工作負(fù)載才需要這樣的彈性。
當(dāng)然����,還有一些通用的應(yīng)對(duì)措施可以幫助用戶檢測(cè)和防范云DDoS和DoS攻擊����。安裝和維護(hù)反惡意軟件綜合工具;定期對(duì)操作系統(tǒng)和應(yīng)用程序進(jìn)行打補(bǔ)丁和升級(jí)等操作;對(duì)API調(diào)用使用認(rèn)證機(jī)制;以及對(duì)本地防火墻或公共云防火墻進(jìn)行配置以關(guān)閉不使用的端口��。
文章編輯:CobiNet(寧波)����,本公司專注于電訊配件,銅纜綜合布線系列領(lǐng)域產(chǎn)品研發(fā)生產(chǎn)超五類,六類,七類屏蔽網(wǎng)線/屏蔽模塊及相關(guān)模塊配件,歡迎來電咨詢0574 88168918,網(wǎng)址www.10166888.com
我們是萬兆屏蔽模塊����,10G屏蔽模塊,屏蔽線生產(chǎn)廠家�。
