iT邦幫忙

0

Google雲端運算技術App Engine可以抵抗DDOS攻擊嗎?

前一陣子巴哈姆特電玩跟遊戲基地被大陸駭客攻擊事件,如果是採用Google雲端運算技術App Engine是否就可以抵抗類似的DDOS攻擊?

http://ithelp.ithome.com.tw/question/10001473
http://code.google.com/appengine/

看更多先前的討論...收起先前的討論...
fillano iT邦超人 1 級 ‧ 2008-06-25 09:49:27 檢舉
這樣的疑慮似乎直接問google比較快吧?
Ruei iT邦研究生 1 級 ‧ 2008-06-25 21:25:58 檢舉
其實在下也非常好奇,蠻想知道有沒有什麼資安案例發生在雲端的說?
fillano iT邦超人 1 級 ‧ 2008-06-26 10:35:59 檢舉
話說回來,ddos也不會直接攻擊到雲端吧?所以要是看前端的伺服器可不可以抵擋了。如果有疑慮,google是服務提供者,應該會回答的啦。
fishk iT邦大師 1 級 ‧ 2008-07-02 22:28:49 檢舉
我想Google雲端運算技術App Engine應該可以透過分散伺服器, 避開一些簡單的DDOS攻擊, 但我想Google也應該不會聲稱是否可以避開DDOS攻擊, 否則很可能會變成被hacker攻擊的對象.

2 個回答

36
fishk
iT邦大師 1 級 ‧ 2008-06-23 23:12:45
最佳解答

分散式阻斷服務(Distributed Denial of Service)是目前駭客主要的攻擊方式之ㄧ,容易對攻擊目標造成嚴重的影響,而且難以防禦和追查。
一、阻斷服務(Denial of Service)
在探討 DDoS 之前我們需要先對 DoS 有所了解,DoS泛指駭客試圖妨礙正常使用者使用網路上的服務,例如剪斷大樓的電話線路造成用戶無法通話。而以網路來說,由於頻寬、網路設備和伺服器主機等處理的能力都有其限制,因此當駭客產生過量的網路封包使得設備處理不及,即可讓正常的使用者無法正常使用該服務。例如駭客試圖用大量封包攻擊一般頻寬相對小得多的撥接或 ADSL 使用者,則受害者就會發現他要連的網站連不上或是反應十分緩慢。

二、分散式阻斷服務(Distributed Denial of Service)
DDoS 則是 DoS 的特例,駭客利用多台機器同時攻擊來達到妨礙正常使用者使用服務的目的。駭客預先入侵大量主機以後,在被害主機上安裝 DDoS 攻擊程式控制被害主機對攻擊目標展開攻擊;有些 DDoS 工具採用多層次的架構,甚至可以一次控制高達上千台電腦展開攻擊,利用這樣的方式可以有效產生極大的網路流量以癱瘓攻擊目標。早在2000年就發生過針對Yahoo, eBay, Buy.com 和 CNN 等知名網站的DDoS攻擊,阻止了合法的網路流量長達數個小時。

三、從 DDoS 攻擊下存活
那麼當遭受 DDoS 攻擊的時候要如何設法存活並繼續提供正常服務呢?由先前的介紹可以知道,若駭客攻擊規模遠高於你的網路頻寬、設備或主機所能處理的能力,其實是很難以抵抗攻擊的,但仍然有一些方法可以減輕攻擊所造成的影響。
首先是調查攻擊來源,由於駭客經由入侵機器進行攻擊,因此你可能無法查出駭客是由哪裡發動攻擊,我們必須一步一步從被攻擊目標往回推,先調查攻擊是由管轄網路的哪些邊界路由器進來,上一步是外界哪台路由器,連絡這些路由器的管理者(可能是某個ISP或電信公司)並尋求他們協助阻擋或查出攻擊來源,而在他們處理之前可以進行哪些處理呢?
如果被攻擊的目標只是單一 ip,那麼試圖改個 ip 並更改其 DNS mapping 或許可以避開攻擊,這是最快速而有效的方式;但是攻擊的目的就是要使正常使用者無法使用服務,更改ip的方式雖然避開攻擊,以另一角度來看駭客也達到了他的目的。此外,如果攻擊的手法較為單純,可以由產生的流量找出其規則,那麼利用路由器的 ACLs(Access Control Lists)或防火牆規則也許可以阻擋,若可以發現流量都是來自同一來源或核心路由器,可以考慮暫時將那邊的流量擋起來,當然這還是有可能將正常和異常的流量都一併擋掉,但至少其他來源可以得到正常的服務,這有時是不得已的犧牲。如果行有餘力,則可以考慮增加機器或頻寬作為被攻擊的緩衝之用,但這只是治標不治本的做法。最重要的是必須立即著手調查並與相關單位協調解決。

四、預防DDoS攻擊
DDoS 必須透過網路上各個團體和使用者的共同合作,制定更嚴格的網路標準來解決。每台網路設備或主機都需要隨時更新其系統漏洞、關閉不需要的服務、安裝必要的防毒和防火牆軟體、隨時注意系統安全,避免被駭客和自動化的 DDoS 程式植入攻擊程式,以免成為駭客攻擊的幫兇。
有些 DDoS 會偽裝攻擊來源,假造封包的來源 ip,使人難以追查,這個部份可以透過設定路由器的過濾功能來防止,只要網域內的封包來源是其網域以外的 ip,就應該直接丟棄此封包而不應該再送出去,如果網管設備都支援這項功能,網管人員都能夠正確設定過濾掉假造的封包,也可以大量減少調查和追蹤的時間。

所以說,DDOS攻擊與網路服務有關,與採用Google雲端運算技術App Engine開發似乎沒有直接對應關連性, 除非雲端運算技術可以將網路服務分散到世界各地, 即使幾個點被攻擊後, 其它點還是可以存活提供服務.

感謝您的回答,不過我想了解的是如果將網站建置在google app engine,是不是就可以避免類似的DDOS攻擊

fishk iT邦大師 1 級 ‧ 2008-07-01 23:37:24 檢舉

現在google除了提供google app engine外, 還提供免費網站租用, 由於雲端運算技術可以支援Load balance, 所以Google雲端運算技術App Engine應該可以避開一些簡單的DDOS攻擊.

16
doz
iT邦好手 8 級 ‧ 2008-07-06 13:46:35

將網站放在Google app engine,情況和巴哈姆特的case不一樣
google限制每個網站,每天只有2G的流量,每個月500萬次pageview
恐怕在googe的server還沒掛之前,就會因為頻寬用完,而將網站關閉
目前google也沒開啟相關的管理措施,讓網站owner決定瀏覽的管理政策
所以,只能等著服務被灌爆

不過,年底Google開放付費後,如果有用不完的錢
那麼倒是不用擔心放在Google app engine上面的服務會掛點
在Google的雲端運算架構下,GAE的伺服器一台掛掉,可以切換到另外一台
在用光所有Google伺服器之前,服務大概都可以運作
那麼就要來比看DDOS攻擊的量,能不能耗掉Google所有的Server
不過,顯然目前執行GAE的Server數量還不夠多。
之前就發生過一次,因為底層資料庫query指令的bug,造成某些指令會
產生大量的磁碟存取,造成server負載過度..讓GAE當了好幾個小時.
GAE的服務大概中斷了3-4個小時

真正的狀況,恐怕還是得等到年底正式發表beta版時,才能夠知道
不過,理論上,雲端運算可以不斷將服務轉給正常的Server,是可以擋的住DDOS

cooch iT邦研究生 3 級 ‧ 2009-06-22 09:09:23 檢舉

yes!
因為 Google 那朵雲實在太大了,
要癱瘓那一大朵雲恐怕不太容易!

fantasy iT邦新手 4 級 ‧ 2009-09-10 12:01:54 檢舉

如果DDOS也是用雲端技術的話(其實它本來就是一種分散式攻擊)
也許就很難說了
不知道當雲端電腦感染病毒的話
是不是也會跟運算一樣很快就整朵雲都中毒...

不過病毒與防毒本來就是一場永無止境的戰爭
而IT技術就像「水」一樣
既能載舟也能覆舟
或許雲端之後會再出現一個「Universe Computing」(宇宙計算)也說不定
呵呵~

之前被DDOS攻擊過
那個當下真的是束手無策,只能協調ISP擋住國外的封包
用這種方式閃掉來自國外的DDOS攻擊!
基本上交給Google會比自己防禦要簡單!
Google那邊的技術比較厲害!
他們有比較厲害的工程師可以對抗DDOS這類的駭客攻擊!
我們只要把應用程式轉成Google App Engine,就可以不用煩惱這些討厭的駭客攻擊!
這是Google的面子問題,任何Google提供的服務都不能被駭客打掛!
打掛就丟臉了!

我要發表回答

立即登入回答