|
|
因此,数据中心面临的另一个严峻问题是如何应对由应用攻击造成的“零时差”效应。
1.2.2 面向网络层的攻击
除了由于系统漏洞造成的应用攻击外,数据中心还要面对拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)的挑战。DOS/DDOS是一种传统的网络攻击方式,然而其破坏力却十分强劲。据2004 美国CSI/FBI的计算机犯罪和安全调研分析,DOS和DDOS攻击已成为对企业损害最大的犯罪行为,超出其他各种犯罪类型两倍。
常见的DDOS攻击方法有SYN Flood、Established Connection Flood和Connection Per Second Flood。已发现的DOS攻击程序有ICMP Smurf、UDP 反弹,而典型的DDOS攻击程序有Zombie、TFN2K、Trinoo 和 Stacheldraht等。DOS/DDoS攻击大行其道的原因主要是利用了TCP/IP的开放性原则,从任意源地址向任意目标地址都可以发送数据包。DOS/DDOS利用看似合理的海量服务请求来耗尽网络和系统的资源,从而使合法用户无法得到服务的响应。早期的DOS攻击由单机发起,在攻击目标的CPU速度不高、内存有限、网络带宽窄的情况下效果是明显的。随着网络和系统性能的大幅提高,CPU的主频已达数G,服务器的内存通常在2G以上,此外网络的吞吐能力已达万兆,单机发起的DoS攻击好比孤狼斗猛虎,没有什么威胁。狼的习性是群居,一只固然势单力薄,但如果群起而攻之,恐怕猛虎也难抵挡,这就是分布式拒绝服务攻击的原理。用一台攻击机来攻击不再起作用的话,攻击者使用10台攻击机、100台呢共同发起攻击呢?DDoS就是利用大量的傀儡机来发起攻击,积少成多超过网络和系统的能力的极限,最终击溃高性能的网络和系统。
数据中心绝不允许DOS/DDOS垃圾报文肆虐于网络之中,因此如何实施边界安全策略,如何“拒敌于国门之外”将是数据中心面临的又一个挑战。
1.2.3 对网络基础设施的攻击
数据中心象一座拥有巨大财富的城堡,然而坚固的堡垒最容易从内部被攻破,来自数据中心内部的攻击也更具破坏性。隐藏在企业内部的黑客不仅可以通过应用攻击
添加到百度搜藏
