分布式拒绝服务DDoS攻击的范围和频率都在不断上升,高危行业的公司自身防卫面临众多挑战。虽然DDoS一般不会直接攻击数据中心,但这并没有使他们免于与DDoS相关的问题。在近期的一份报告中,波尼蒙研究所发现DDoS占数据中心停机原因的18%,高于2010年的2%。由于这种攻击生成的流量越来越大,数据中心也很难从攻击影响中恢复过来。
要保持在DDoS攻击下的正常运行,数据中心应该做到以下几点:
研究攻击类型并提早防御
DDoS攻击者非常聪明。最好的情形下,在黑客破解之前,新型防御机制面市之后能为企业提供18月的保护。这些攻击数据中心的黑客大多受经济利益或理想驱使,且他们的方法也越来越复杂。保持关注第3、4和7层攻击和相关的解决方案是比较有利的。
教会你的用户过滤不良请求
从某种程度上来说,数据中心和他们的用户一样脆弱。告诉用户他们将会收到哪些攻击请求及为什么要避免这些连接。有时这些攻击信息和金融诈骗有关,还有一些可能是在DDoS攻击导致网络中断期间黑客发给用户的嘲弄。不管是什么内容,这些来自黑客的内容都应该被忽略,不管这些信息是针对数据中心还是终端用户的。一旦收信者回应了这些信息,黑客很有可能开始或继续攻击。
保护你的网络
防火墙的效果已经不再那么明显了。如果你还指望这种古老的安全方法来保护数据中心,那么是时候来重新审视一下自己的防御措施了。最大的防火墙也很容易受到哪怕最小的攻击。数据中心应该使用可以管理和保护服务器或使用负载平衡器建立代理的解决方案来取代传统的防火墙。这种方法可以减缓DDoS攻击的破坏影响,如降低、放慢第7层攻击。
此外,为什么防火墙不能阻止DDoS攻击的最主要原因是它们并不是针对这种攻击而设计的。虽然一些品牌和型号的防火墙表示支持DDoS保护,但防火墙主要关注的是设备处在状态下。通俗地说就是防火墙跟踪每个通过设备的连接,实时处理和限制每个账户的流量。防御DDoS是防火墙里的一个被称为分组过滤器的特殊类别。重要的是要注意,传统防火墙或状态防火墙的这种效果并不理想。
网络保护还包括设备升级。服务合同应该保持更新,购买的新产品应该有承受长时间攻击的跟踪记录。然而,即使你采取了这些预防措施,你的数据中心仍然能感受到DDoS的影响。因此应急计划非常重要。安全网络、系统架构、现场分组过滤器、经验丰富的安全工程师等可以帮助数据中心安全渡过最糟糕的情况。
波尼蒙研究所发现有些数据中心完全忽视了DDoS攻击可能引起的停机,这些状况很可能要花掉几十万美元解决。除了缓解紧急情况的成本,计划外的停机也会使数据中心失掉用户的信任。因此,保持正常运行是数据中心的核心价值,必须为避免DDoS停机做到最佳。
