云计算是一种服务模式的革新,它将物理资源(例如,计算资源、存储资源、数据资源)集中化,并通过网络以按需的方式提供给用户。云计算面临诸多安全挑战(例如,数据隐私、资源管理),其中分布式拒绝服务(Distributed Denial of Service,DDoS)攻击是主要的安全威胁之一。DDoS攻击严重影响了云计算的连续性和可用性。尽管DDoS攻击早已在传统网络中盛行,但云计算的应用给DDoS攻防带来了全新的挑战和机遇。一方面,云计算赋能攻击。云计算的大规模和集中化将传统攻击进一步放大。此外,云计算本身的漏洞被用于组织新型的攻击。在上述情况下,传统的防御技术难以应对云计算中大规模、多样化、复杂化的DDoS攻击。另一方面,云计算赋能防御。云计算丰富的资源结合新技术(例如,软件定义网络、自动伸缩)可保证自身的安全以及向用户提供云安全服务。充分利用云计算的新技术抗DDoS攻击是目前的发展趋势。云计算中的DDoS攻击引起了广泛的关注。许多研究工作致力于揭示新的漏洞或设计有效的抗DDoS方案。为了使相关研究人员能够全面了解最新的研究进展并激发他们开发新的方案应对各种DDoS攻击,本文对现有研究进行了广泛调研形成综述。首先,我们总结了云计算在技术和服务上存在的漏洞,并进一步揭示了攻击者如何利用这些漏洞发起DDoS攻击。接下来,我们描述了云计算中DDoS攻击的组织方式。此外,我们还分析了云计算中各种DDoS攻击的原理,并根据攻击速率将其分类。然后,我们给出一个DDoS防御的总体架构。基于此,我们从攻击预防、攻击检测和攻击缓解三个方面对现有的抗DDoS攻击技术进行了详细的分析和评估。重要的是,我们比较了这些技术的优缺点。除技术外,我们还简要讨论了为应对DDoS攻击在服务和管理上需要关注的问题。最后,我们讨论了当前开放性的问题以及面临的挑战,并展望未来的研究方向。希望本文能使读者更好地了解云计算中的DDoS攻击问题、当前已有解决方案以及未来的研究范畴,以便更有效地应对DDoS攻击。
云计算安全一直受到广泛的关注。虽然云计算下的安全问题与传统网络环境下的安全问题有相似之处,但是其特有的实现技术和运营模式,导致其面临新的安全威胁。2016年,云安全联盟(Cloud Security Alliance,CSA)发布了云计算面临的12种安全威胁:数据泄露;身份、凭证和访问管理不足;不安全的应用程序编程接口;系统漏洞;账户劫持;恶意内部员工;高可持续性威胁;数据丢失;责任条款调查欠缺;滥用和恶意使用云服务;拒绝服务攻击;共享的技术漏洞。
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击一直被视为互联网面临的主要安全威胁之一。近年来,DDoS攻击频发,最具代表性的攻击事件有两次,一次是2016年美国 Dyn 域名服务器供应商遭受大规模DDoS攻击,这次攻击的影响几乎波及半个美国,Twitter、GitHub、Amazon等大型网站无一幸免。这次事件体现出受害规模之大。第二次是2018年一家名为“US-based service provide”的游戏服务商遭遇了峰值流量达1。7Tbps的DDoS攻击。这次事件体现出攻击速率之高。DDoS攻击频发的原因在于,首先它作为一种破坏型的攻击,具有实施简单的特点,只需暴力式地消耗资源。而其攻击效果又十分显著,受害者很难做出及时有效的响应,而攻击溯源也较为困难。此外,低廉的成本是其频发的另一个原因。从博弈的角度,攻击者只需要较小的攻击成本,就可以发动一次大规模的DDoS攻击。例如,仅需2。4万美金便可购买10万台僵尸主机,而如此规模的僵尸网络造成的经济损失可达44。4万美金。云计算促使互联网业务高速增长,这些业务产生了巨大的经济效益。随着大量用户数据和应用向云计算平台的迁移,针对云计算数据中心的攻击与日倶增,而DDoS正是恶意竞争者非法获利的惯用手段。
世界知名信息安全服务商Arbor Networks指出,几乎没有云计算平台能免遭DDoS攻击。主流的云服务商(例如,Akamai、AWS、阿里云等)针对实际遭遇的DDoS攻击会专门发布安全报告综合这些报告可以归纳出,目前攻击者仍然以实施高速率、大规模的DDoS攻击为主。攻击者通常以僵尸网络和反射的方式汇聚大规模流量。例如,阿里云声称2019年上半年DDoS攻击流量大于50Gbps的事件有5500余次,其中300Gbps以上的占20%,同时已经连续2个月出现近Tb级的攻击.Akamai声称2018年抵御了一波1.3Tbps的DDoS攻击。此外,云服务商也普遍指出当前DDoS攻击者通常利用的协议仍然是TCP和UDP,而不可忽视的是应用层DDoS攻击呈增长趋势。这些报告还指出IOT设备的增加为组织大规模DDoS攻击提供了便利。例如,Mirai、Spike等感染IOT僵尸网络的恶意程序已经被云服务商广泛关注。
随着越来越多的用户开始使用虚拟化数据中心和云服务,云平台的新技术和新模式带来了新的漏洞,例如防护边界降低问题、虚拟化安全问题等。这些漏洞给DDoS攻击提供了更广阔的空间。攻击者可以采取暴力式的淹没型攻击,这种攻击难以缓解。攻击者也可以实施技术式的攻击,这种攻击以精准打击云计算的某种漏洞为目标,往往具有难以察觉以及对传统防御方法免疫的特点。当前,云计算中的DDoS攻击防御面临着严峻的挑战。(文/中国民航大学电子信息与自动化学院 岳猛,王怀远,吴志军,刘亮)
………………
云计算中DDoS攻防技术研究综述 PDF 完整版下载:
https://www.aliyundrive.com/s/ivNu8xtaETb 提取码: 0ek7