数据中心解决方案安全技术白皮书(3)

因此，数据中心面临的另一个严峻问题是如何应对由应用攻击造成的“零时差”效应。

1.2.2       面向网络层的攻击

除了由于系统漏洞造成的应用攻击外，数据中心还要面对拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS）的挑战。DOS/DDOS是一种传统的网络攻击方式，然而其破坏力却十分强劲。据2004 美国CSI/FBI的计算机犯罪和安全调研分析，DOS和DDOS攻击已成为对企业损害最大的犯罪行为，超出其他各种犯罪类型两倍。

常见的DDOS攻击方法有SYN Flood、Established Connection Flood和Connection Per Second Flood。已发现的DOS攻击程序有ICMP Smurf、UDP 反弹，而典型的DDOS攻击程序有Zombie、TFN2K、Trinoo 和 Stacheldraht等。DOS/DDoS攻击大行其道的原因主要是利用了TCP/IP的开放性原则，从任意源地址向任意目标地址都可以发送数据包。DOS/DDOS利用看似合理的海量服务请求来耗尽网络和系统的资源，从而使合法用户无法得到服务的响应。早期的DOS攻击由单机发起，在攻击目标的CPU速度不高、内存有限、网络带宽窄的情况下效果是明显的。随着网络和系统性能的大幅提高，CPU的主频已达数G，服务器的内存通常在2G以上，此外网络的吞吐能力已达万兆，单机发起的DoS攻击好比孤狼斗猛虎，没有什么威胁。狼的习性是群居，一只固然势单力薄，但如果群起而攻之，恐怕猛虎也难抵挡，这就是分布式拒绝服务攻击的原理。用一台攻击机来攻击不再起作用的话，攻击者使用10台攻击机、100台呢共同发起攻击呢？DDoS就是利用大量的傀儡机来发起攻击，积少成多超过网络和系统的能力的极限，最终击溃高性能的网络和系统。

数据中心绝不允许DOS/DDOS垃圾报文肆虐于网络之中，因此如何实施边界安全策略，如何“拒敌于国门之外”将是数据中心面临的又一个挑战。

1.2.3       对网络基础设施的攻击

数据中心象一座拥有巨大财富的城堡，然而坚固的堡垒最容易从内部被攻破，来自数据中心内部的攻击也更具破坏性。隐藏在企业内部的黑客不仅可以通过应用攻击技术绕过防火墙，对数据中心的网络造成损害，还可以凭借其网络构架的充分了解，通过违规访问、嗅探网络系统、攻击路由器/交换机设备等手段，访问非授权资源，这些行将对企业造成更大的损失。