云服务中地DDoS防御策略.PDFVIP

云服务中的DDoS 防御策略 发布时间：2015 年2 月 序言 微软作为一个具有显著互联网影响力和众多杰出互联网资产的全球性组织，基于微软技术 的服务是黑客们和其他怀有恶意的个人重要的攻击 目标。事实上，在过去的几年里，基于 微软技术的服务一直持续地受到各种形式的网络攻击。几乎在任何时间 ，用于这些服务的 网络资产都在面临着某种形式的拒绝服务（DoS ）攻击。如果没有可靠和持久的缓解系统 可以抵御这些攻击，这些服务将处于脱机状态。 基于微软技术由世纪互联运营的 Microsoft Azure 和 Office 365 采用了防御纵深安全策 略 ，来抵御内部和外部的风险。客户端与 Azure 和 Office 365 之间的通信层——网络 ， 是恶意攻击的最大目标之一。 本文介绍了不同类型的 DDoS 攻击，使用微软技术如何保护由世纪互联运营的 Microsoft Azure 和 Office 365 及其网络免受攻击。 DDoS 攻击的定义和特征 攻击网络服务的一种方式是，向某个服务的主机创建发起大量请求，使网络和服务器过载 ， 继而拒绝合法用户的请求。这被称为一个拒绝服务（DoS ）攻击。当这种攻击由多个主体 和载体发起时，就被称之为分布式拒绝服务（DDoS ）攻击。 虽然攻击的方式、动机和攻击 目标可能会有所不同，DDoS 攻击通常由一人或多人协作发 起 ，为了暂时或永久中断某个网站或服务的正常运行。 美国计算机应急准备小组（US-CERT ）定义的DDoS 攻击的特征包括：  异常缓慢的网络性能（打开文件或访问互联网网站时）  特定网站的不可用  无法访问特定网站  收到的垃圾邮件数量剧增  无线或有线网络无法连接  长时间的无法访问网络或任何互联网服务 DDoS 攻击的概述 DDoS 攻击主要表现为五种方式： 1  字节/秒攻击 （bps ）  包/秒攻击 （pps ）  交易/秒攻击 （tps ）  连接/秒攻击 （cps ）  最大并发连接攻击 （mcc ） 字节/秒攻击 原理上讲，字节/秒攻击是指发送超过网络可处理的数据。这种攻击侧重于基于数据包大小的网 络饱和度上 ，而非网络数据传输率。其目的在于占用大量网络带宽资源，从而使之丢包。基本 上，攻击者会企图占满两台设备间已明确带宽的固定链路。恶意流量会消耗掉大量可用带宽， 以至于合法的用户请求无法通过已饱和的链路上传送。实际传输的载荷通常是随机的且不相关 的。举例来说，一种典型的攻击方式是对网络时间协议（NTP ）反射的利用。网络时间协议反 射攻击 ，攻击者会用伪造的 IP 地址（被攻击者的 IP ）发送少量数据到NTP 服务器。作为对该 IP 请求的回应，NTP 服务器会发送大量反馈数据，继而使被攻击者的网络瘫痪。 包/秒攻击 这种攻击利用了一个简单的事实：并非所有的数据包生而同等大小。这种攻击侧重于使用过 量的数据包而非数据引起网络饱和。处理数据包需要消耗一定的资源 ，与数据包的大小无关。 一个既定网络的带宽能够承受一定大小的数据包流量 （例如，1500 字节大小的数据包 ）， 一旦达到包/秒上限，即使非常快的网络和网络设备也会被拖慢。较小数据包（例如，64 字 节）也可能会导致带宽最大性能急剧下降。 尽管不是制造大量流量来导致网络或设备瘫痪 ，攻击者却选择了发送大量小数据包，从而延长 处理数据包所需的时间 ，最终拖慢整个网络。用户数据报协议（UDP ）洪水攻击是进行这种类 型攻击的典型方法。 交易/秒方式的攻击 这种类型攻击通常是前面提到的字节/秒攻击和包/秒攻击无效之后设计出的针对目标机器 的攻击方式。攻击者将对 目标机器正在运行的服务进行分析 ，然后尝试执行针对该服务的组 件的交易，以测试其响应速度。攻击者试图找出哪些交易具有更长的响应时间，因为这会表 明该服务正在执行更多的工作，和消耗更多的资源来响应此类交易请求。如果攻击者对目标 机器的架构有很好的理解，那么他们可以进一步调整攻击策略 ，只需很少的数据包就可以中 断服务。 假设 ，攻击者知道执行以下任何活动时某个服务将消耗10％的 CPU 时间： 2 三个并发有哪些信誉好的足球投注网站