亞馬遜EC2的客戶們?cè)庥鲞^(guò)一場(chǎng)有預(yù)謀的分布式拒絕服務(wù)(DDoS)攻擊，這場(chǎng)攻擊導(dǎo)致了對(duì)于這種基于Web的代碼托管服務(wù)BitBucket(我喜歡的IT小報(bào)The Register的正式新聞?dòng)谜Z(yǔ))的恐慌。一個(gè)不幸的事實(shí)是對(duì)于EC2所遭受的這種DDoS攻擊，一旦入口網(wǎng)絡(luò)帶寬被占滿，除了直接斷開(kāi)網(wǎng)絡(luò)，沒(méi)有更好的防御措施。

　　趨勢(shì)科技不得不把與分布式拒絕服務(wù)攻擊之間的搏斗作為我們反病毒業(yè)務(wù)以及托管安全業(yè)務(wù)的一部分。我和一些首席技術(shù)官和架構(gòu)師們探討過(guò)他們對(duì)于Bitbucket事件的看法，這讓我認(rèn)識(shí)到了DDoS所引起的棘手難題。

　　供應(yīng)商和SaaS/IaaS提供商們可以忽悠以免受到負(fù)面新聞的影響，但從技術(shù)的角度來(lái)看，一旦接入網(wǎng)絡(luò)受到密集的DDoS攻擊，便沒(méi)有任何防御可言。沒(méi)有方法能夠從架構(gòu)上避免分布式拒絕服務(wù)的攻擊，但你可以設(shè)計(jì)架構(gòu)減輕攻擊。這不是一勞永逸的事情，而是應(yīng)該發(fā)展與上游供應(yīng)商的好的工作關(guān)系并與他們實(shí)時(shí)合作減輕攻擊。

　　大多數(shù)的(針對(duì)DDoS攻擊的)網(wǎng)絡(luò)對(duì)策方案無(wú)法使網(wǎng)絡(luò)免受DDoS攻擊，因?yàn)樗鼈儫o(wú)法阻止通信的大量涌入，而且典型情況是，它們都不能區(qū)分好的內(nèi)容和壞的內(nèi)容。Intrusion Prevention Systems (IPS)對(duì)于已識(shí)別的并且之前有數(shù)字簽名的攻擊是有效的，但是對(duì)于內(nèi)容合法而目的不良的攻擊卻束手無(wú)策。類似的，防火墻通常用一些簡(jiǎn)單的規(guī)則來(lái)拒絕或者允許協(xié)議、端口或IP地址。DDoS攻擊可以很容易繞過(guò)防火墻和IPS設(shè)備，因?yàn)樗鼈儽辉O(shè)計(jì)成發(fā)送合法的通信流量(比如說(shuō)對(duì)某Web服務(wù)器的HTTP請(qǐng)求)。這些攻擊從很多獨(dú)立主機(jī)上產(chǎn)生大量流量，以至于網(wǎng)絡(luò)連接無(wú)法處理這些流量。

　　雖然我懷疑這種攻擊相對(duì)稀少，因?yàn)榻裉齑蠖鄶?shù)這種形式的攻擊是用來(lái)牟取非法利益，而且DDoS 通常被人操縱用來(lái)抹黑或者報(bào)復(fù)，它們?nèi)詴?huì)對(duì)顧客、IaaS 賣家、和ISP們構(gòu)成威脅。不管哪個(gè)壞蛋盜用了那些用于DDoS攻擊的機(jī)器，識(shí)別到這些被盜用的機(jī)器后， ISP們不得不開(kāi)始一項(xiàng)痛苦的任務(wù)去通知他們的訂戶或者直接關(guān)閉這些被盜用的機(jī)器。ISP們要通知成千上萬(wàn)的訂戶可不是很快很輕易就能完成的。

　　如果你將一個(gè)不承擔(dān)緊急任務(wù)的應(yīng)用程序到云里面去，那么上述這一切都無(wú)關(guān)緊要，你大可以前往酒吧等到DDoS風(fēng)波平息你的應(yīng)用程序又可以使用的時(shí)候。

　　如果你是將一個(gè)承擔(dān)重要任務(wù)的程序應(yīng)用到云計(jì)算里去，那又是另一回事了，因?yàn)槟銖囊婚_(kāi)始搭建這個(gè)程序時(shí)就要保證它有迅速恢復(fù)的能力。這就意味著將這個(gè)應(yīng)用程序散布到不同的IaaS供應(yīng)商那里并從他們那里復(fù)制數(shù)據(jù)。這也意味著要挑戰(zhàn)不同IaaS供應(yīng)商的反應(yīng)時(shí)間。云計(jì)算和SaaS/IaaS是了不起的東西，但企業(yè)和應(yīng)用架構(gòu)師先要謹(jǐn)慎思考，才能飛上云端。

　　注釋：作者Todd Thiemann現(xiàn)為趨勢(shì)科技全球數(shù)據(jù)中心安全市場(chǎng)高級(jí)主管。