亞馬遜EC2的客戶們曾遭遇過一場有預(yù)謀的分布式拒絕服務(wù)(DDoS)攻擊，這場攻擊導(dǎo)致了對于這種基于Web的代碼托管服務(wù)BitBucket(我喜歡的IT小報The Register的正式新聞用語)的恐慌。一個不幸的事實是對于EC2所遭受的這種DDoS攻擊，一旦入口網(wǎng)絡(luò)帶寬被占滿，除了直接斷開網(wǎng)絡(luò)，沒有更好的防御措施。

　　趨勢科技不得不把與分布式拒絕服務(wù)攻擊之間的搏斗作為我們反病毒業(yè)務(wù)以及托管安全業(yè)務(wù)的一部分。我和一些首席技術(shù)官和架構(gòu)師們探討過他們對于Bitbucket事件的看法，這讓我認(rèn)識到了DDoS所引起的棘手難題。

　　供應(yīng)商和SaaS/IaaS提供商們可以忽悠以免受到負(fù)面新聞的影響，但從技術(shù)的角度來看，一旦接入網(wǎng)絡(luò)受到密集的DDoS攻擊，便沒有任何防御可言。沒有方法能夠從架構(gòu)上避免分布式拒絕服務(wù)的攻擊，但你可以設(shè)計架構(gòu)減輕攻擊。這不是一勞永逸的事情，而是應(yīng)該發(fā)展與上游供應(yīng)商的好的工作關(guān)系并與他們實時合作減輕攻擊。

　　大多數(shù)的(針對DDoS攻擊的)網(wǎng)絡(luò)對策方案無法使網(wǎng)絡(luò)免受DDoS攻擊，因為它們無法阻止通信的大量涌入，而且典型情況是，它們都不能區(qū)分好的內(nèi)容和壞的內(nèi)容。Intrusion Prevention Systems (IPS)對于已識別的并且之前有數(shù)字簽名的攻擊是有效的，但是對于內(nèi)容合法而目的不良的攻擊卻束手無策。類似的，防火墻通常用一些簡單的規(guī)則來拒絕或者允許協(xié)議、端口或IP地址。DDoS攻擊可以很容易繞過防火墻和IPS設(shè)備，因為它們被設(shè)計成發(fā)送合法的通信流量(比如說對某Web服務(wù)器的HTTP請求)。這些攻擊從很多獨立主機上產(chǎn)生大量流量，以至于網(wǎng)絡(luò)連接無法處理這些流量。

　　雖然我懷疑這種攻擊相對稀少，因為今天大多數(shù)這種形式的攻擊是用來牟取非法利益，而且DDoS 通常被人操縱用來抹黑或者報復(fù)，它們?nèi)詴︻櫩?、IaaS 賣家、和ISP們構(gòu)成威脅。不管哪個壞蛋盜用了那些用于DDoS攻擊的機器，識別到這些被盜用的機器后， ISP們不得不開始一項痛苦的任務(wù)去通知他們的訂戶或者直接關(guān)閉這些被盜用的機器。ISP們要通知成千上萬的訂戶可不是很快很輕易就能完成的。

　　如果你將一個不承擔(dān)緊急任務(wù)的應(yīng)用程序到云里面去，那么上述這一切都無關(guān)緊要，你大可以前往酒吧等到DDoS風(fēng)波平息你的應(yīng)用程序又可以使用的時候。

　　如果你是將一個承擔(dān)重要任務(wù)的程序應(yīng)用到云計算里去，那又是另一回事了，因為你從一開始搭建這個程序時就要保證它有迅速恢復(fù)的能力。這就意味著將這個應(yīng)用程序散布到不同的IaaS供應(yīng)商那里并從他們那里復(fù)制數(shù)據(jù)。這也意味著要挑戰(zhàn)不同IaaS供應(yīng)商的反應(yīng)時間。云計算和SaaS/IaaS是了不起的東西，但企業(yè)和應(yīng)用架構(gòu)師先要謹(jǐn)慎思考，才能飛上云端。

　　注釋：作者Todd Thiemann現(xiàn)為趨勢科技全球數(shù)據(jù)中心安全市場高級主管。