天天，網絡進攻者們都在不絕的試圖粉碎企業的應用措施并竊取相關數據信息，這無疑讓您企業的數據中心基本設施處在了一個被對準進攻的靶心上。而鑒于數據中心存儲著您企業最有代價和最明明的資產——包羅您企業的網絡、DNS、數據庫和電子郵件處事器，故而數據中心已然成為了網絡罪犯、黑客動作者和某些國度扶助的進攻者的頭號進攻方針。

在本文中，我們將為寬大讀者諸君配合闡明當前企業數據中心所面對的最危險的五大安詳威脅，即：

1、DDoS進攻

2、Web應用措施進攻

3、DNS基本設施：進攻方針及其附帶的損害

4、SSL激發的安詳盲點

5、暴力和弱認證

本文先容了這些安詳威脅所帶來的影響，并進一步為讀者們先容了進攻者們所回收的用以竊取數據中心資源的最新的要領、東西和技能。最后，文章還籌劃擬定出了一套框架，以輔佐數據中心打點人員操作本日在絕大大都數據中心已經存在的技能，來緩解這些安詳威脅。

1）DDoS進攻

處事器是漫衍式拒絕處事（DDoS）進攻的首要方針，而且它們正越來越多地逐漸進級為用于粉碎和禁用根基互聯網處事的進攻兵器。固然Web處事器成為DDoS進攻的吸收端已經多年了，但進攻者們此刻正操作Web應用措施的裂痕將Web處事器釀成“呆板人”。一旦進攻者起草了未發覺的Web處事器到他們的虛擬部隊，就可以利用這些處事器進攻其他網站。

通過操作Web，DNS和NTP處事器，進攻者可以擴大DDoS進攻的局限和強度。固然處事器不會代替傳統的基于PC的僵尸網絡，但其所具備的更大的計較本領和帶寬，使他們可以或許執行殲滅性的進攻，從而使得一臺處事器可以等同于數百臺PC的進攻力。

跟著從處事器提倡的DDoS進攻越來越多，使得在已往幾年中，DDoS進攻的局限急劇增長也就并不奇怪了。事實上，在2011年到2013年間，DDoS進攻的平均局限從4.7 Gbps上升到10 Gbps.但真正的令人震驚的是典范的DDoS進攻中每秒平均數據包的驚人增長；事實上，DDoS進攻率在2011年至2013年間猛增了1850%，到達7.8 Mpps.在2014年，DDoS進攻到達了37 Mpps；而在2015年則到達175 Mpps.縱然數據包速率沒有急劇上升，DDoS進攻也將強大到足以使大大都尺度網絡設備無能為力。

圖1、各類現成的進攻東西包使得進攻者們可以或許動員多向量的進攻。

DDoS-for-hire（DDoS進攻租賃）處事，凡是被稱為“booters”，在已往的幾年中已經得到了迅速的增長。網上有大量關于他們這方面本領宣傳的YouTube視頻和論壇帖子。盡量一些DDoS進攻租賃偽裝成“壓力測試”處事，但仍然有很多的DDoS進攻租賃斗膽的宣稱可以或許“讓仇人離線”和“沒落競爭敵手！”一小時只要5美元，即可提供DDoS進攻，這些處事答允任何小我私家或企業組織執行DDoS進攻。

圖2：果真的booters和DDoS進攻處事的示例

FFIEC和MAS所提供的關于DDoS掩護的指南

DDoS進攻的威脅正在不絕增長，而相關的禁錮機構也已經留意到了。譬喻，美國聯邦金融機構查抄委員會（FFIEC）、新加坡金融打點局（MAS）和美國國度信用同盟打點局（NCUA）就已經發出了DDoS進攻防護指南或風險警示。MAS出格指示金融機構必需“安裝和設置足夠的設備…以便一旦進攻被猜疑或證實，即可及時的轉移或過濾網絡流量。”

固然FFIEC、MAS和NCUA的指南只包圍了金融業界的機構，但進攻者但是“不挑食的”，他們會對所有范例的企業組織機構提倡DDoS進攻。因此，每家企業組織機構都應該成立起相應的防止法子，以防備下一次的DDoS進攻。

2）Web應用措施進攻

當網絡罪犯和黑客進攻者們不忙于借助DDoS進攻摧毀網站時，他們正在提倡Web進攻，如SQL注入、跨站點劇本（XSS）和跨站點請求偽造（CSRF）。他們盡力試圖侵入應用措施并竊取數據以獲取收益。越來越多的進攻者對準易受進攻的Web處事器，并安裝惡意代碼，以將其轉換為DDoS進攻源。

在2013年，黑客動作者們對準了內容打點系統（CMS），如WordPress，Joomla和Drupal以及第三方CMS插件。一旦黑客進攻者發明白一個CMS的裂痕，他們就可以或許在企業組織機構修補其懦弱的CMS應用措施之前，快速發明和操作無數的CMS站點。

圖3、進攻Web應用措施的念頭