天天，網(wǎng)絡(luò)進攻者們都在不絕的試圖粉碎企業(yè)的應(yīng)用措施并竊取相關(guān)數(shù)據(jù)信息，這無疑讓您企業(yè)的數(shù)據(jù)中心基本設(shè)施處在了一個被對準(zhǔn)進攻的靶心上。而鑒于數(shù)據(jù)中心存儲著您企業(yè)最有代價和最明明的資產(chǎn)——包羅您企業(yè)的網(wǎng)絡(luò)、DNS、數(shù)據(jù)庫和電子郵件處事器，故而數(shù)據(jù)中心已然成為了網(wǎng)絡(luò)罪犯、黑客動作者和某些國度扶助的進攻者的頭號進攻方針。

在本文中，我們將為寬大讀者諸君配合闡明當(dāng)前企業(yè)數(shù)據(jù)中心所面對的最危險的五大安詳威脅，即：

1、DDoS進攻

2、Web應(yīng)用措施進攻

3、DNS基本設(shè)施：進攻方針及其附帶的損害

4、SSL激發(fā)的安詳盲點

5、暴力和弱認(rèn)證

本文先容了這些安詳威脅所帶來的影響，并進一步為讀者們先容了進攻者們所回收的用以竊取數(shù)據(jù)中心資源的最新的要領(lǐng)、東西和技能。最后，文章還籌劃擬定出了一套框架，以輔佐數(shù)據(jù)中心打點人員操作本日在絕大大都數(shù)據(jù)中心已經(jīng)存在的技能，來緩解這些安詳威脅。

1）DDoS進攻

處事器是漫衍式拒絕處事（DDoS）進攻的首要方針，而且它們正越來越多地逐漸進級為用于粉碎和禁用根基互聯(lián)網(wǎng)處事的進攻兵器。固然Web處事器成為DDoS進攻的吸收端已經(jīng)多年了，但進攻者們此刻正操作Web應(yīng)用措施的裂痕將Web處事器釀成“呆板人”。一旦進攻者起草了未發(fā)覺的Web處事器到他們的虛擬部隊，就可以利用這些處事器進攻其他網(wǎng)站。

通過操作Web，DNS和NTP處事器，進攻者可以擴大DDoS進攻的局限和強度。固然處事器不會代替?zhèn)鹘y(tǒng)的基于PC的僵尸網(wǎng)絡(luò)，但其所具備的更大的計較本領(lǐng)和帶寬，使他們可以或許執(zhí)行殲滅性的進攻，從而使得一臺處事器可以等同于數(shù)百臺PC的進攻力。

跟著從處事器提倡的DDoS進攻越來越多，使得在已往幾年中，DDoS進攻的局限急劇增長也就并不奇怪了。事實上，在2011年到2013年間，DDoS進攻的平均局限從4.7 Gbps上升到10 Gbps.但真正的令人震驚的是典范的DDoS進攻中每秒平均數(shù)據(jù)包的驚人增長；事實上，DDoS進攻率在2011年至2013年間猛增了1850%，到達7.8 Mpps.在2014年，DDoS進攻到達了37 Mpps；而在2015年則到達175 Mpps.縱然數(shù)據(jù)包速率沒有急劇上升，DDoS進攻也將強大到足以使大大都尺度網(wǎng)絡(luò)設(shè)備無能為力。

圖1、各類現(xiàn)成的進攻東西包使得進攻者們可以或許動員多向量的進攻。

DDoS-for-hire（DDoS進攻租賃）處事，凡是被稱為“booters”，在已往的幾年中已經(jīng)得到了迅速的增長。網(wǎng)上有大量關(guān)于他們這方面本領(lǐng)宣傳的YouTube視頻和論壇帖子。盡量一些DDoS進攻租賃偽裝成“壓力測試”處事，但仍然有很多的DDoS進攻租賃斗膽的宣稱可以或許“讓仇人離線”和“沒落競爭敵手！”一小時只要5美元，即可提供DDoS進攻，這些處事答允任何小我私家或企業(yè)組織執(zhí)行DDoS進攻。

圖2：果真的booters和DDoS進攻處事的示例

FFIEC和MAS所提供的關(guān)于DDoS掩護的指南

DDoS進攻的威脅正在不絕增長，而相關(guān)的禁錮機構(gòu)也已經(jīng)留意到了。譬喻，美國聯(lián)邦金融機構(gòu)查抄委員會（FFIEC）、新加坡金融打點局（MAS）和美國國度信用同盟打點局（NCUA）就已經(jīng)發(fā)出了DDoS進攻防護指南或風(fēng)險警示。MAS出格指示金融機構(gòu)必需“安裝和設(shè)置足夠的設(shè)備…以便一旦進攻被猜疑或證實，即可及時的轉(zhuǎn)移或過濾網(wǎng)絡(luò)流量。”

固然FFIEC、MAS和NCUA的指南只包圍了金融業(yè)界的機構(gòu)，但進攻者但是“不挑食的”，他們會對所有范例的企業(yè)組織機構(gòu)提倡DDoS進攻。因此，每家企業(yè)組織機構(gòu)都應(yīng)該成立起相應(yīng)的防止法子，以防備下一次的DDoS進攻。

2）Web應(yīng)用措施進攻

當(dāng)網(wǎng)絡(luò)罪犯和黑客進攻者們不忙于借助DDoS進攻摧毀網(wǎng)站時，他們正在提倡Web進攻，如SQL注入、跨站點劇本（XSS）和跨站點請求偽造（CSRF）。他們盡力試圖侵入應(yīng)用措施并竊取數(shù)據(jù)以獲取收益。越來越多的進攻者對準(zhǔn)易受進攻的Web處事器，并安裝惡意代碼，以將其轉(zhuǎn)換為DDoS進攻源。

在2013年，黑客動作者們對準(zhǔn)了內(nèi)容打點系統(tǒng)（CMS），如WordPress，Joomla和Drupal以及第三方CMS插件。一旦黑客進攻者發(fā)明白一個CMS的裂痕，他們就可以或許在企業(yè)組織機構(gòu)修補其懦弱的CMS應(yīng)用措施之前，快速發(fā)明和操作無數(shù)的CMS站點。

圖3、進攻Web應(yīng)用措施的念頭