亚马逊EC2的客户们曾遭遇过一场有预谋的分布式拒绝服务()攻击,这场攻击导致了对于这种基于Web的代码托管服务BitBucket(我喜欢的IT小报The Register的正式新闻用语)的恐慌。一个不幸的事实是对于EC2所遭受的这种DDoS攻击,一旦入口网络带宽被占满,除了直接断开网络,没有更好的防御措施。
趋势科技不得不把与分布式拒绝服务攻击之间的搏斗作为我们反业务以及托管安全业务的一部分。我和一些首席技术官和架构师们探讨过他们对于Bitbucket事件的看法,这让我认识到了DDoS所引起的棘手难题。
供应商和/IaaS提供商们可以忽悠以免受到负面新闻的影响,但从技术的角度来看,一旦接入网络受到密集的DDoS攻击,便没有任何防御可言。没有方法能够从架构上避免分布式拒绝服务的攻击,但你可以设计架构减轻攻击。这不是一劳永逸的事情,而是应该发展与上游供应商的好的工作关系并与他们实时合作减轻攻击。
大多数的(针对DDoS攻击的)网络对策无法使网络免受DDoS攻击,因为它们无法阻止通信的大量涌入,而且典型情况是,它们都不能区分好的内容和坏的内容。Intrusion Prevention Systems ()对于已识别的并且之前有数字签名的攻击是有效的,但是对于内容合法而目的不良的攻击却束手无策。类似的,通常用一些简单的规则来拒绝或者允许协议、端口或IP地址。DDoS攻击可以很容易绕过防火墙和IPS设备,因为它们被设计成发送合法的通信流量(比如说对某的HTTP请求)。这些攻击从很多独立主机上产生大量流量,以至于网络连接无法处理这些流量。
虽然我怀疑这种攻击相对稀少,因为今天大多数这种形式的攻击是用来牟取非法利益,而且DDoS 通常被人操纵用来抹黑或者报复,它们仍会对顾客、IaaS 卖家、和们构成威胁。不管哪个坏蛋盗用了那些用于DDoS攻击的机器,识别到这些被盗用的机器后, ISP们不得不开始一项痛苦的任务去通知他们的订户或者直接关闭这些被盗用的机器。ISP们要通知成千上万的订户可不是很快很轻易就能完成的。
如果你将一个不承担紧急任务的应用程序到云里面去,那么上述这一切都无关紧要,你大可以前往酒吧等到DDoS风波平息你的应用程序又可以使用的时候。
如果你是将一个承担重要任务的程序应用到里去,那又是另一回事了,因为你从一开始搭建这个程序时就要保证它有迅速恢复的能力。这就意味着将这个应用程序散布到不同的IaaS供应商那里并从他们那里复制数据。这也意味着要挑战不同IaaS供应商的反应时间。云计算和SaaS/IaaS是了不起的东西,但和应用架构师先要谨慎思考,才能飞上云端。