云环境中的DDoS攻击综述

来自安全提供商Arbor网络的第八份年度“全球基础设施安全报告”揭示了云服务提供商和传统数据中心是如何受到攻击的。该报告调查了12个月时段的数据,并向130名企业和网络运营专业人员提出了200个基于安全的问题。主要调查结果如下:

  • 94%的数据中心管理人员报告了某种类型的安全攻击。
  • 76%的组织必须处理对客户的分布式拒绝服务(DDoS)攻击。
  • 43%的组织的基础设施由于DDoS攻击而部分或全部中断。
  • 14%的组织不得不应对针对云服务的攻击

2016年10月21日,互联网用户经历了一次真正的考验,甚至在某种程度上,互联网遭遇了“生死存亡”的挑战。互联网上和现实世界中都存在着关键的基础设施,这次攻击以域名系统(DNS)为目标,削弱了其中的一个组成部分。服务提供商Dyn受到了大规模的DDoS攻击,使得世界无法连接到Twitter、Reddit和Spotify等流行网站,尽管事实上这些网站都在正常运行。

美国东部时间10月21日星期五早上7点10分,Dyn开始监视DDoS对其美国东海岸基础设施的攻击。不久之后,世界将了解有多少网站使用Dyn/只用Dyn作为域名解析服务。到了上午9点20分,在这2个小时内,大部分互联网仍然无法正常连接。美国东部时间上午11点52分,Dyn解决了初始攻击,但紧接着一系列的二次袭击发生了,并结束于下午6点17分。在长达11个小时的时间里,全网络无处不在的连通性的脆弱展露无遗。

收到干扰最大的是数字品牌,像Etsy、PayPal和Spotify等依赖互联网的企业,都经历了严重的混乱。企业电子邮件瘫痪(微软),软件开发暂停(GitHub),许多业务应用程序无法使用(Okta),广告收入无法产生(Reddit/Twitter),更讽刺的是,中断监控服务也出现了问题(PagerTask)。

云计算是一种新兴的技术,在互联网上发生大量的存储、数据和服务。云计算环境的主要优点是用户只需要为他们使用的东西付费。云服务本质上是分布式的,因此数百万用户可以共享它们。正因为如此,云环境面临着众多的安全挑战。分布式拒绝服务(DDoS)是云计算中最突出的安全攻击,也是影响云服务稳定性的最大威胁,因为它具有多租户架构。

云计算是从网格计算、实用程序计算和面向服务的体系结构等各种现有技术发展而来的。随着云的使用,许多公司无需在建设新的基础设施、软件许可和建立大型数据中心方面投入大量资金,就可以扩大规模。云计算在利用硬件、软件和为最终用户提供服务方面非常有用。云计算结构依赖于三个主要服务:基础设施即服务(IaaS)、软件即服务(SaaS)和平台即服务(PaaS)。

IaaS允许用户访问网络和存储等物理资源,而PaaS提供对各种平台和操作系统的访问。SaaS使用户能够访问软件应用程序。

云计算的体系结构设计给用户带来了诸多好处,同时也带来了安全性、性能、数据完整性和成本等方面的挑战。在这些问题中,安全性则是重中之重,其中威胁最大的安全挑战之一既是如何处理DDoS攻击,因为云的主要特征是主机级、浏览器级、网络级和服务器级的资源共享。虽然DDoS攻击与拒绝服务(DoS)攻击几乎相同,但DDoS攻击的影响是巨大的。在DoS攻击中,攻击者使用一个系统攻击服务器(一对一映射)。而DDoS是用几个受到破坏的系统实现的,这些系统有助于将恶意通信发送到目标服务器(多对一映射)。DDoS攻击的两个主要目标是淹没服务器资源(CPU时间、网络带宽),使真正的用户无法访问服务器;第二个目标是隐藏恶意用户(攻击者)的身份。DDoS攻击得以在云领域轻而易举且高频发发生的主要原因之一是攻击工具的可用性和这些工具产生大量攻击流量的能力。

防范DDoS攻击的防御/预防机制本身并不总是有效的。只有结合不同的机制(负载平衡、节流和密灌)来构建混合防御机制,特别是不同的云计算层,才是最有效的。

度言平台作为领先的云联络中心SaaS平台,也同样面临遭遇着DDoS攻击的挑战。在北京时间2018年3月27日13:00,度言平台遭受到首轮每秒50G的攻击,15:00受到第二轮每秒25G的攻击。不畏浮云遮望眼,只缘身在最高层。在遭受到两轮DDoS攻击后,度言运维团队在第一时间迅速做出反应并启动应急措施,极速恢复了服务,同时制定了相应的技术解决方案以应对挑战。度言技术团队有信心,也有足够的实力为我们的客户提供最稳定高效的云服务。