趋势科技不得不把与分布式拒绝服务攻击之间的搏斗作为我们反病毒业务以及托管安全业务的一部门。我和一些首席技术官和架构师们探讨过他们对于Bitbucket事件的看法,这让我熟悉到了DDoS所引起的棘手挫折。
供给商和SaaS/IaaS提供商们可以忽悠以免受到负面新闻的影响,但从技术的角度来看,一旦接入网络受到密集的DDoS攻击,便没有任何防备可言。没有方法能够从架构上避免分布式拒绝服务的攻击,但你可以设计架构减轻攻击。这不是一劳永逸的事情,而是应该发展与上游供给商的好的工作关系并与他们实时合作减轻攻击。
大多数的(针对DDoS攻击的)网络对策方案无法使网络免受DDoS攻击,由于它们无法阻止通讯的大量涌入,而且典型情况是,它们都不能区分好的内容和坏的内容。Intrusion Prevention Systems (IPS)对于已识别的并且之前有数字签名的攻击是有效的,但是对于内容正当而目的不良的攻击却束手无策。类似的,防火墙通常用一些简朴的规则来拒绝或者答应协议、端口或IP地址。DDoS攻击可以很轻易绕过防火墙和IPS设备,由于它们被设计成发送正当的通讯流量(好比说对某Web服务器的HTTP哀求)。这些攻击从良多独立主机上产生大量流量,以至于网络连接无法处理这些流量。
固然我怀疑这种攻击相对稀少,由于今天大多数这种形式的攻击是用来牟取非法利益,而且DDoS 通常被人操作用来抹黑或者报复,它们仍会对顾客、IaaS 卖家、和ISP们构成威胁。无论哪个坏蛋盗用了那些用于DDoS攻击的机器,识别到这些被盗用的机器后, ISP们不得不开始一项痛苦的任务去通知他们的订户或者直接封闭这些被盗用的机器。ISP们要通知成千上万的订户可不是很快很等闲就能完成的。
假如你将一个不承担紧急任务的应用程序到云里面去,那么上述这一切都无关紧要,你大可以前往酒吧等到DDoS风波平息你的应用程序又可以使用的时候。
假如你是将一个承担重要任务的程序应用到云计算里去,那又是另一回事了,由于你从一开始搭建这个程序时就要保证它有迅速恢复的能力。北京网站设计这就意味着将这个应用程序散布到不同的IaaS供给商那里并从他们那里复制数据。这也意味着要挑战不同IaaS供给商的反应时间。云计算和SaaS/IaaS是了不起的东西,但企业和应用架构师先要谨严思索,才能飞上云端。
(发布时间:2013-02-20 14:34)
