{安全生产管理}数据中心解决方案安全技术白皮书.docx

{安全生产管理}数据中心解决方案安全技术白皮书  虫、寄生型蠕虫和混和型蠕虫。其中最常见，变种最多的蠕虫是群发邮件型蠕虫，它是通过EMAIL进行传播的，著名的例子包括求职信、网络天空NetSky、雏鹰BBeagle等，2005年11月爆发的Sober蠕虫，是一个非常典型的群发邮件型蠕虫。而传播最快，范围最广、危害最大是系统漏洞型蠕虫，例如利用TCP445端口进行传播的windowsPnP服务漏洞到2006年第一季度还在肆虐它的余威。 图1应用协议攻击穿透防火墙 应用攻击的共同特点是利用了软件系统在设计上的缺陷，并且他们的传播都基于现有的业务端口，因此应用攻击可以毫不费力的躲过那些传统的或者具有少许深度检测功能的防火墙。国际计算机安全协会ICSA实验室调查的结果显示，2005年病毒攻击范围提高了39%，重度被感染者提高了18%，造成的经济损失提高了31%，尤为引人注意的是，跨防火墙的应用层(ISO7层)攻击提高了278%，即使在2004年，这一数字也高达249%。 摆在我们面前的大量证据表明，针对系统缺陷的应用攻击已成为数据中心面临的主要威胁。 造成应用攻击的根本原因在于软件开发人员编写程序时没有充分考虑异常情况的处理过程，当系统处理处理某些特定输入时引起内存溢出或流程异常，因此形成了系统漏洞。黑客利用系统漏洞可以获得对系统非授权资源的访问。来自CERT（计算机紧急事件相应组）报告指出，从1995年开到2004年已有超过12，000个漏洞被报告，而且自1999年以来，每年的数量都翻翻，增长如此迅猛，如下图所示： 图21995－2005CERT/CC统计发现的漏洞 如此多的漏洞，对数据中心意味着什么？系统安全小组必须及时采取行动获得补丁程序、测试、最后将其部署在服务器上，为什么不直接给服务器打补丁呢？因为不能保证补丁对应用系统没有影响，为了以防万一，必须对补丁程序进行测试和验证，然后才允许将其投入生产系统。从补丁程序获得、测试和验证，再到最终的部署，完成这一系列任务需要多长时间？答案是，可能需要几个小时到几天，而在此期间攻击可能已经发生，损失已无法挽回。这也就是所谓的“零时差攻击”。如下表所示，从系统漏洞被发现到产生针对性应用攻击的时间已从以年计算降至以天，以小时计算。 表1系统漏洞与应用攻击爆发速度关系: 应用攻击 系统漏洞与应用攻击爆发周期 MS05-039 24小时 Witty 48小时（2天） Blast 1个月（26天） Slammer 6个月（185天） Nimida 11个月（336天） 试想一下，这是一个何等恐怖的情况，数据中心庞大的服务器群还未来得及做出任何反应即遭到黑客发动的“闪击战”，大量敏感数据被盗用、网络险入瘫痪…|…。 因此，数据中心面临的另一个严峻问题是如何应对由应用攻击造成的“零时差”效应。 面向网络层的攻击 除了由于系统漏洞造成的应用攻击外，数据中心还要面对拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS）的挑战。DOS/DDOS是一种传统的网络攻击方式，然而其破坏力却十分强劲。据2004美国CSI/FBI的计算机犯罪和安全调研分析，DOS和DDOS攻击已成为对企业损害最大的犯罪行为，超出其他各种犯罪类型两倍。 常见的DDOS攻击方法有SYNFlood、EstablishedConnectionFlood和ConnectionPerSecondFlood。已发现的DOS攻击程序有ICMPSmurf、UDP反弹，而典型的DDOS攻击程序有Zombie、TFN2K、Trinoo和Stacheldraht等。DOS/DDoS攻击大行其道的原因主要是利用了TCP/IP的开放性原则，从任意源地址向任意目标地址都可以发送数据包。DOS/DDOS利用看似合理的海量服务请求来耗尽网络和系统的资源，从而使合法用户无法得到服务的响应。早期的DOS攻击由单机发起，在攻击目标的CPU速度不高、内存有限、网络带宽窄的情况下效果是明显的。随着网络和系统性能的大幅提高，CPU的主频已达数G，服务器的内存通常在2G以上，此外网络的吞吐能力已达万兆，单机发起的DoS攻击好比孤狼斗猛虎，没有什么威胁。狼的习性是群居，一只固然势单力薄，但如果群起而攻之，恐怕猛虎也难抵挡，这就是分布式拒绝服务攻击的原理。用一台攻击机来攻击不再起作用的话，攻击者使用10台攻击机、100台呢共同发起攻击呢？DDoS就是利用大量的傀儡机来发起攻击，积少成多超过网络和系统的能力的极限，最终击溃高性能的网络和系统。 数据中心绝不允许DOS/DDOS垃圾报文肆虐于网络之中，因此如何实施边界安全策略，如何“拒敌于国门之外”将是数据中心面临的又一个挑战。 对网络基础设施的攻击 数据中心象一座拥有巨大财富的城堡，然而坚固的堡垒最容易从内部被攻破，来自数据中