基于云平台的 *** 攻击策略_基于云平台的 *** 攻击

基于 *** 协议的攻击方式有哪些？如何防范

典型的互联网协议参考模型是OSI模型，把互联网通信功能划分为7个层次：物理层、数据链路层、 *** 层、传输层、会话层和应用层。

基于 *** 协议的攻击类型分为四类：

①针对数据链路层的攻击 如arp欺骗

②针对 *** 层的攻击 如Smurf攻击、ICMP路由欺骗

③针对传输层的攻击 如SYN洪水攻击、会话劫持

④ 针对应用层的攻击 如 DNS欺骗和窃取

Herculon多层级DDoS防护是什么？

多层级DDoS防护才是王道

DDoS（分布式拒绝服务）攻击由来已久，但如此简单粗暴的攻击手法为何时至今日依然有效，并成为困扰各大网站稳定运营的“头号敌人”呢？实际上，这与DDoS攻击不断变化演进不无关系。面对此种态势，企业又该如何开展积极有效地防御部署呢？只有多层级的DDoS防护才是王道。

DDoS攻击的三大趋势

DDoS攻击是一种利用大量攻击流量淹没目标 *** ，令受害网站无法处理正常访问请求的一种高破坏力、高攻击效率的 *** 攻击手法。由于其成本低廉、高效，因此被 *** 犯罪分子们所青睐，成为他们攻击、勒索商业网站的重要武器。

现阶段的DDoS攻击呈现出三大趋势：

首先是攻击的M型（两极化）趋势。当前的DDoS攻击不仅有以超大攻击流量为主的泛洪攻击，还有能够进行精准打击的状态耗尽攻击、应用层攻击。不论哪种攻击方式，都能够发挥强大杀伤力，对企业网站造成严重伤害。

其次是新形态DDoS攻击规模不断攀升。早年间黑客动用数十Mbps、甚至1Gbps攻击流量，便可达到效果，但随着目前用户防御实力升级，攻击者也顺势加码，自从2013年首次出现300G规模攻击流量后，2014年出现了400Gbps，2015年则达到500Gbps，未来再破记录的几率也不低。

再有就是攻击速度的变化。除了传统的一段时间内集中发起的DDoS攻击外，利用缓慢甚至是微量的恶意访问流量却能够拖垮企业应用服务器的攻击行为也开始在全球盛行起来。而且利用单一事件混搭多种攻击型态的DDoS攻击，如先发动状态耗尽攻击，随后再进行流量攻击也开始流行，并给网站带来猝不不及防的威胁性。

主流防护体系中的软肋

那么面对上述DDoS攻击趋势，目前的主流防护机制无法胜任么？金表示肯定。他指出，如果按派系划分，现阶段防DDoS攻击的主流厂商大致可分为三个派系。

一类为基于防火墙、入侵检测系统、Web应用防护系统、负载均衡设备加上DDoS防护方案的厂商，一类是当地运营商或流量清洗中心，还有一类是CDN厂商。

不过对于上述各派的抵御DDoS方案来说，或多或少都存在一些软肋“罩门”。比如，之一类厂商推出的传统安全设备，原本不是为了DDoS防护所设计的。因此，这些有状态表（Stateful）的设备， 很容易在发挥出DDoS防护机能之前就被攻击者利用状态耗尽攻击而自身难保了。而一些非专业DDoS保护设备则容易造成误判。

对于运营商或ISP流量清洗中心来说，虽然可以提供有限的流量清洗能力， 但面对暴力流量攻击发生时， 往往仍然无法进行有效清洗，或者说洗不干净，而且无法主动侦测L7等攻击行为以及不能掌控预算花费，在DDoS防御的纵深度上有一定欠缺。

而对于CDN厂商来说则往往欠缺防御广度，例如其不能阻挡非网页型态的攻击行为；针对实际IP进行攻击也无法拦截；动态网页型的客户则无法阻挡状态耗尽攻击；受限金融法规规范， 对金融交易所需加解密无法支持等等。

全方位阻断策略

既然现阶段的DDoS防护方案都存在这样或那样的不仅人意，究竟该如何应对DDoS攻击呢？一个完善可靠的DDoS防护，必须采用多层级的全方位阻断策略。而这样的防护体系需要具备下面的六大特征：

之一，驻地端防护设备必须24小时全天候主动侦测各类型DDoS攻击，包括流量攻击、状态耗尽攻击与应用层攻击。

第二，驻地端防护设备只要侦测到攻击流量后，即可实现阻挡。

第三，利用Arbor Pravail可用性保护系统（APS）设备，可以自动阻挡攻击者的试探性流量，并推迟其后续攻击频率，积极防御。

第四，为了避免出现上述防火墙等设备存在的弊端，用户应该选择无状态表架构（Stateless Architecture）的防护设备。

第五，利用云平台、大数据分析，积累并迅速察觉攻击特征码，建立指纹知识库（Signature Database），以协助企业及时侦测并阻挡恶意流量攻击。

第六，将APS设备与Arbor Cloud云端清洗中心相结合，开展联动防护。

显而易见，通过上面的全方位阻断策略，企业不仅可以构建出一套高效的多层级DDoS防护体系，还能够在日益难缠的DDoS攻击面前立于不败之地了。

云主机可以抗DDOS攻击吗

高防云主机可以抗DDoS攻击，下面以美国高防云主机为例介绍其相关优势：

　1、无备案、无线路限制

国内创建网站的用户逃不掉一个极其繁琐的操作，那就是备案，针对不同的机房，其要求时限的也不尽相同，有的时候必须保证备案后才可以接入，没有备案号域名方根本没有机会和权利接入，不然就会面临网站关闭的风险。而美国高防云主机省去了备案操作，同时用户也省去了对于国内电信跟网通互联不互通的担心。关键的是，用户购买该产品后可以即买即用，该产品还同时支持多个网站上线，如此方便，受广大站长欢迎也是早晚的事情。

2、抵御 *** 攻击

一听名字，高防，其安全性不言而喻。很多企业在计划建站时都会倾向于选择一款能够同时阻止DDoS、CC等外来攻击的美国高防云主机。不仅如此，用户信赖该产品的主要原因还在于其提供了海量带宽，采用了一流的流量牵引技术，与恶意软件或者攻击防御所代表的安全性相结合，提供安全性能双保障。

3、访问速度快

访问速度快也算是性能方面最直观的一种体现。美国高防云主机由于机房设在美国，无疑对北美、欧洲客户最友好托管无疑是更佳选择，当然因为大部分产品所处机房位于洛杉矶、硅谷一带，与中国大陆仅隔一座太平洋，国内用户访问速度也不会差，甚至可以说与国外用户相差无几。一些著名品牌的相关产品会提供BGP国际带宽或者支持CN2线路，方便路由快捷传输。

4、价格低

不要被配置高价格就一定贵的惯性思维所打扰，实际上美国高防云主机价格比普通美国高防服务器价格便宜很多，很多小站长也是可以用的起的。而且该产品IP资源丰富，也十分有利于搜索引擎优化。就这一点上，用户只能想到该产品提供DDoS防御服务显然就有点落伍了。

WHT中文站针对相关产品提供商的产品信息和排名情况进行了介绍，值得参考。

云平台安全威胁有哪些？

1.虚拟化安全问题：如果物理主机受到破坏，其所管理的虚拟服务器由于存在和物理主机的交流，有可能被攻克，若物理主机和虚拟机不交流，则可能存在虚拟机逃逸。如果物理主机上的虚拟 *** 受到破坏，由于存在物理主机和虚拟机的交流，以及一台虚拟机监控另一台虚拟机的场景，导致虚拟机也会受到损害。

2.数据集中的安全问题：用户的数据存储、处理、 *** 传输等都与云计算系统有关，包括如何有效存储数据以避免数据丢失或损坏，如何对多租户应用进行数据隔离，如何避免数据服务被阻塞等等。

3.云平台可用性问题：用户的数据和业务应用处于云平台遭受攻击的问题系统中，其业务流程将依赖于云平台服务连续性、SLA和IT流程、安全策略、事件处理和分析等提出了挑战。另外，当发生系统故障时，如何保证用户数据的快速恢复也成为一个重要问题。

4.云平台遭受攻击的问题：云计算平台由于其用户、信息资源的高度集中，容易成为黑客攻击的目标，由此拒绝服务造成的后果和破坏性将会明显超过传统的企业网应用环境。

“ *** 大流感”Apache Log4j2漏洞来袭“云上企业”如何应对？

对于大部分互联网用户而言，Apache（阿帕奇）Log4j2是个陌生的词汇。但在很多程序员眼中，它却是陪伴自己的好伙伴，每天用于记录日志。然而，恰恰是这个被无数程序员每天使用的组件出现漏洞了。这个漏洞危害之大，甚至可能超过“永恒之蓝”。

安恒信息高级应急响应总监季靖评价称：“（Apache Log4j2）降低了黑客攻击的成本，堪称 *** 安全领域20年以来史诗级的漏洞。”有业内人士还认为，这是“现代计算机 历史 上更大的漏洞”。

工信部于2021年12月17日发文提示风险：“阿帕奇Log4j2组件存在严重安全漏洞……该漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。”

就连国家 *** 部门也中招了。2021年12月下旬，比利时国防部承认他们遭受了严重的 *** 攻击，该攻击基于Apache Log4j2相关漏洞， *** 攻击导致比利时国防部包括邮件系统在内的一些业务瘫痪。

此漏洞“威力”之大，连国家信息安全也受到波及。那么普通企业，特别是采用云服务的企业应该如何应对呢？疫情发生以来，大量企业、机构加速数字化进程，成为“云上企业”。传统环境下，企业对自身的安全体系建设拥有更多掌控权，完成云迁移后，这些企业的云安全防护是否到位？

2021年12月9日深夜，Apache Log4j2远程代码执行漏洞攻击爆发，一时间各大互联网公司“风声鹤唳”，许多 *** 安全工程师半夜醒来，忙着修补漏洞。“听说各大厂程序员半夜被叫起来改，不改完不让下班。”相关论坛也对此事议论纷纷。

为何一个安全漏洞的影响力如此之大？安永大中华区 *** 安全与隐私保护咨询服务主管合伙人高轶峰认为：“影响广泛、威胁程度高、攻击难度低，使得此次Apache Log4j2漏洞危机备受瞩目，造成了全球范围的影响。”

“Log4j2是开源社区阿帕奇（Apache）旗下的开源日志组件，被全世界企业和组织广泛应用于各种业务系统开发”，季靖表示，“据不完全统计，漏洞爆发后72小时之内，受影响的主流开发框架都超过70个。而这些框架，又被广泛使用在各个行业的数字化信息系统建设之中，比如金融、医疗、互联网等等。由于许多耳熟能详的互联网公司都在使用该框架，因此阿帕奇Log4j2漏洞影响范围极大。”

除了应用广泛之外，Apache Log4j2漏洞被利用的成本相对而言也较低，攻击者可以在不需要认证登录这种强交互的前提下，构造出恶意的数据，通过远程代码对有漏洞的系统执行攻击。并且，它还可以获得服务器的更高权限，最终导致设备远程受控，进一步造成数据泄露，设备服务中断等危害。

不仅仅攻击成本低，而且技术门槛也不高。不像2017年爆发的“永恒之蓝”，攻击工具利用上相对复杂。基于Apache Log4j2漏洞的攻击者，可以利用很多现成的工具，稍微懂点技术便可以构造更新出一种恶意代码。

利用难度低、攻击成本低，意味着近期针对Apache Log4j2漏洞的攻击行为将还会持续一段时间，这将是一场“ *** 安全大流感”。

传统模式下，安全人员可以在本地检测、打补丁、修复漏洞。相对于传统模式，“云上企业”使用的是云计算、云存储服务等，没有自己的机房和服务器。进入云环境，安全防护的“边界”不复存在，对底层主机的控制权限也没有本地那么多，同时还多一层虚拟化方面的攻击方式。

特别是疫情影响下，大量企业、机构开启数字化转型，从本地服务器迁徙到云服务器。短时间内完成云迁移，企业很可能缺乏对应的云安全管理能力成熟度；同时，往往也面临着安全能力不足、专业人手紧缺等情况。

面对这场史诗级的漏洞危机，“云上企业”应该如何应对呢？

在安恒信息高级产品专家盖文轩看来：“企业上云之后，传统的 *** 安全风险依然存在，此外，还会面临新的安全风险，比如用户与云平台之间安全责任边界划分等问题。另外，传统的硬件设备可能不适用于云环境，因此需要针对特殊情况部署相关安全服务。”

而在安永大中华区 科技 风险咨询服务合伙人赵剑澐看来：“面对快速上云，企业急需搭建满足自身业务发展与管理要求的安全保障体系。”

那么，对于这些“云上企业”，究竟是选择云服务商提供的原生安全服务，还是另寻第三方专业的安全服务商呢？

事实上，目前即使是高度自动化的云原生安全方案，也无法做到完全自主自治，仍然需要合格的云安全服务专业团队参与。高轶峰强调，对于中小型企业，选择满足资质的第三方专业安全机构，能够保证服务的独立性，保障工作顺利开展及服务质量。

每日经济新闻