任何遭遇过DDoS攻击的企业都知道这种攻击会造成严重的破坏。除了显而易见的影响,例如性能下降或企业网站完全无法访问,还有不太明显的影响,例如,如果企业在IaaS或甚至主机托管提供商那儿选择“基于使用量的定价”,DDoS攻击会给企业造成财务损失。当这些企业需要为带宽或CPU时间付费时,DDoS相关的成本影响非常显著。
鉴于分布式拒绝服务(DDoS)攻击可能会带来非常严重的后果,我们看到市场上涌现出很多专门防御或缓解这种类型攻击的技术。这些技术依靠不同的机制;例如,一种技术利用云计算来缓解DDoS攻击的影响,它会通过云服务提供商的DNS重置路由过滤有问题的流量。最常见的方法是调整DNS记录将对客户Web服务器的请求发送至云服务提供商,云服务提供商作为入站请求的反向代理,他们会过滤恶意流量并将合法流量返回给客户。
这种解决方案有很多优势:它不需要修改客户的网站,不需要部署新硬件,并可以快速启用或禁用。然而,依靠DNS重置路由也可能让问题复杂化。由于流量会首先通过DNS解析到达云服务提供商,攻击可绕过域名解析(例如直接瞄准底层客户IP地址),使其完全可以绕过这种保护机制。
CloudPiercer
从实践来看,这里带来的启示是:隐藏客户想要保护的服务的源IP很重要。事实上,这种缓解服务带来的价值与获取原始信息的难易程度有关,这些信息隐藏得越好,攻击者越难发起攻击。
这是比利时Leuven大学和纽约州立大学Stony Brook分校研究人员提出的观点,他们对很多用于发现服务器(这些服务器受基于DDoS防护技术保护)原始IP的技术进行了测试。他们查看了IP历史数据库、解析到原始IP的子域名(例如用于SSH连接的子域名)、DNS信息(例如不指向云服务提供商的MX记录)、可能包含IP信息的文件、引用和证书信息。他们的CloudPiercer研究网站提供了一种扫描工具来为管理员部署各种方法,帮助他们了解其环境是否存在风险。
这种方法很重要的原因不仅在于大部分网站都容易受到攻击,也因为这些方法很可能被精明的攻击者利用。例如,在CloudPiercer网站的部署会查看PHP信息文件;然而,这些肯定不是唯一包含服务器IP地址的文件:备份文件或脚本也可能包含这些信息。
我们可以做些什么?
对于基于云的DDoS防护,受云计算保护的Web服务器的原始IP暴露可不是什么好事儿,这应该引起安全人员的关注。要紧的是,如果使用基于云的DDoS防护服务,他们可以怎么做来确保受到保护?对于正在评估DDoS缓解工具和战略的企业,这会有什么影响?
对于已经在使用云服务作为其DDoS防护战略一部分的企业,他们必须了解他们是否正在暴露这些信息,以及他们是否在采取措施来防止这些信息在今后被泄露。为了确定他们现在是否在泄露这些信息,第一步可以利用CloudPiercer研究团队提供的免费的扫描器。但是,这个工具并没有涵盖其他方面,有些企业可能希望采取更全面的分析。例如,他们可能想要评估渗透测试是否可确保这些信息得到了真正的隐蔽。
在他们了解他们目前是否受到了影响后,他们可建立流程来确保这些信息在之后不会被泄露。对于不同的公司,可能会选择不同的方法,但他们可以考虑定期扫描、检索主机IP的内容变化,以及评估这些变化、针对该问题或其他适合环境的其他技术对开发人员进行教育。
对于正在评估基于云的DDoS防护工具及服务的企业,重要的是认识到这个问题的存在,并围绕这个问题制定计划。有些解决方案可能涉及构建上述程序来最大限度减少/防止信息泄露。这意味着基于设备的内部部署解决方案更加重要,因为我们可以预测挑战,保持企业隐蔽性以及考虑在云中运行但利用BGP的服务,很多供应提供两种选项。
企业应该认真思考这个问题,并将其融进安全规划中,因为DDoS缓解非常重要,如果想从所购买的服务中获取最大的价值,企业就需要认真理解和规划这一问题。
作者:Ed Moyle
来源:51CTO
