云計(jì)算在黑客看來(lái)是什么？

云計(jì)算不同于傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，黑客從哪里進(jìn)攻，服務(wù)商在哪里防御，哪里是云計(jì)算服務(wù)的安全戰(zhàn)場(chǎng)？從云計(jì)算的模型分析，不難看出未來(lái)安全的“五大戰(zhàn)場(chǎng)”：

1、用戶(hù)接入門(mén)戶(hù)：云計(jì)算服務(wù)是通過(guò)網(wǎng)絡(luò)提供的，用戶(hù)使用固定或移動(dòng)的智能終端登錄到云服務(wù)上，接入門(mén)戶(hù)就是云計(jì)算服務(wù)的網(wǎng)址，是外部訪問(wèn)者的必經(jīng)之路。這里是云計(jì)算的“大門(mén)”，用戶(hù)從這里進(jìn)來(lái)，攻擊者也從這里進(jìn)來(lái)。這里最容易遭到的攻擊如下：

? 密碼攻擊：猜測(cè)用戶(hù)密碼，冒充用戶(hù)登錄，獲取用戶(hù)資源。云計(jì)算一般不會(huì)開(kāi)通遠(yuǎn)程平臺(tái)管理功能，但對(duì)于PaaS/IaaS來(lái)說(shuō)，用戶(hù)遠(yuǎn)程管理自己的平臺(tái)是常見(jiàn)的，攻擊管理者密碼更加具有誘惑力；

? 偽造“證件”：多因子認(rèn)證，除了口令以外，還有數(shù)字證書(shū)或指紋、虹膜等，要冒充用戶(hù)，就必須“仿造”這些“證件”。在終端上收集了用戶(hù)有關(guān)信息后，仿造還是相對(duì)容易的，如銀行卡、身份證等；

? 釣魚(yú)網(wǎng)站：這是傳統(tǒng)的攻擊方式，目標(biāo)是用戶(hù)的有關(guān)私密信息，云計(jì)算的登錄界面與網(wǎng)站非常雷同，被“釣魚(yú)”攻擊是容易的；

? 信息竊聽(tīng)：竊聽(tīng)用戶(hù)的通訊，如破譯用戶(hù)郵箱后，可以復(fù)制用戶(hù)的來(lái)往郵件，監(jiān)控用戶(hù)的業(yè)務(wù)往來(lái)；

? DDOS攻擊：這是針對(duì)云服務(wù)服務(wù)商的，可分為門(mén)戶(hù)帶寬攻擊與服務(wù)能力攻擊，目的是造成云計(jì)算服務(wù)的中斷，并以此要挾服務(wù)商妥協(xié)，交保護(hù)費(fèi)。

2、業(yè)務(wù)應(yīng)用軟件(SaaS、PaaS服務(wù))：無(wú)論是服務(wù)商還是用戶(hù)提供的業(yè)務(wù)軟件，都包含大量的漏洞，并且利用難度低，入侵者不僅可以通過(guò)攻擊應(yīng)用軟件，獲得用戶(hù)信息，而且可以作為下一步占領(lǐng)“主機(jī)”的跳板。攻擊方式多樣，主要的如下：

? 病毒與蠕蟲(chóng)：利用應(yīng)用軟件的漏洞傳播病毒、蠕蟲(chóng)越來(lái)越多了，攜帶上木馬就更加可惡，因?yàn)槟抉R可以回家，無(wú)目標(biāo)的滲透成了有目的破壞組織；

? 掛馬：云計(jì)算的服務(wù)多為BS架構(gòu)，通過(guò)Web掛馬，是目前傳播木馬的主要途徑。突出的是社交類(lèi)、共享存儲(chǔ)類(lèi)服務(wù)，用戶(hù)上載信息多而復(fù)雜，容易攜帶惡意代碼。網(wǎng)站掛馬對(duì)服務(wù)商本身的服務(wù)沒(méi)有影響，只是面子問(wèn)題，受傷害的是用戶(hù)；

? 應(yīng)用軟件攻擊：針對(duì)Web應(yīng)用進(jìn)行入侵，如SQL注入、XSS等，獲取用戶(hù)數(shù)據(jù)庫(kù)權(quán)限，盜取用戶(hù)資料；這是目前互聯(lián)網(wǎng)使用最多的入侵方式；

? 主機(jī)攻擊：再進(jìn)一步就是獲取主機(jī)，可以通過(guò)操作系統(tǒng)的漏洞直接進(jìn)行攻擊，難度要大些(大多服務(wù)器進(jìn)行了安全加固)，通過(guò)應(yīng)用軟件做跳板就相對(duì)容易，先獲得應(yīng)用程序的權(quán)限，再通過(guò)緩沖區(qū)溢出等方式“提權(quán)”，占領(lǐng)服務(wù)主機(jī)或虛擬機(jī)，安裝后門(mén)或控制程序，把主機(jī)變成攻擊者控制的“肉雞”。

3、虛擬機(jī)(IaaS服務(wù))：虛擬機(jī)是云計(jì)算服務(wù)的基本“容器”，也是IaaS服務(wù)的出租單位，它本身彈性服務(wù)能力與低廉的成本，通過(guò)簡(jiǎn)單的商務(wù)聯(lián)系就可以使用。對(duì)黑客來(lái)說(shuō)，這本身就是一個(gè)大“資源”，除了利用它，還可以突破它，入侵到服務(wù)商的后臺(tái)管理：

? 虛擬機(jī)“溢出”：云計(jì)算服務(wù)商為多個(gè)用戶(hù)提供安全的服務(wù)，是因?yàn)樗麄兛梢园延脩?hù)之間隔離開(kāi)來(lái)，避免用戶(hù)之間的信息共享與訪問(wèn)。如同酒店里不同客戶(hù)安排在不同的房間內(nèi)，通過(guò)門(mén)卡與監(jiān)控防止客戶(hù)“走錯(cuò)”房間。攻擊者希望突破這道限制，也就是“溢出”，溢出后，不僅可以訪問(wèn)“鄰居”的數(shù)據(jù)與系統(tǒng)，還可以訪問(wèn)后臺(tái)的管理系統(tǒng)，控制整個(gè)“酒店”的賬目。

這種突破技術(shù)，依賴(lài)于服務(wù)商使用的云計(jì)算服務(wù)平臺(tái)的安全性，目前商業(yè)化的平臺(tái)并不多，已經(jīng)有黑客宣布可以做到“溢出”了。

? 資源濫用：對(duì)于攻擊者來(lái)說(shuō)，掌握“肉雞”的數(shù)量，就如同自己控制的軍隊(duì)有多少一樣，而云計(jì)算服務(wù)就可以提供了這樣廉價(jià)的、合法的“士兵”，用不著花大力氣去一個(gè)一個(gè)地攻擊獵取了；被“利用”的主要方式如下：

n 破譯密碼：入侵過(guò)程中密碼破譯是最花費(fèi)計(jì)算能力的，除非國(guó)家性質(zhì)的攻擊，計(jì)算能力對(duì)入侵者來(lái)說(shuō)都是寶貴的財(cái)富，租用廉價(jià)的云計(jì)算，直接用于破解密碼是不錯(cuò)的主意。而對(duì)于云計(jì)算服務(wù)商來(lái)說(shuō)，區(qū)分用戶(hù)是在“科學(xué)計(jì)算”，還是解密?chē)?guó)防部的高精度密碼，是很難區(qū)分的，再說(shuō)，出于對(duì)用戶(hù)“業(yè)務(wù)”的私密性考慮，還阻止了服務(wù)商進(jìn)行深度的監(jiān)控。

如同銀行從來(lái)不管用戶(hù)的交易是稻谷，還是“白粉”，都提供同樣“優(yōu)質(zhì)”的金融服務(wù)。

n “肉雞”：一個(gè)虛擬機(jī)就是一個(gè)“肉雞”，可以直接租用，在進(jìn)行DDOS攻擊時(shí)，集中大量的“肉雞”進(jìn)行，每個(gè)“肉雞”的流量與狀態(tài)并非我們想象的那樣異常，云計(jì)算的服務(wù)商很難判斷(不能判斷，就無(wú)法制止)。并且云計(jì)算服務(wù)都是跨國(guó)界的，攻擊者可以開(kāi)發(fā)一個(gè)自己的“肉雞”管理軟件，讓“肉雞”分散而均勻。

n “跳板”：“僵尸網(wǎng)絡(luò)”之所以難以破解，是因?yàn)榭刂普咄ㄟ^(guò)多層“跳板”，遙控前臺(tái)的“肉雞”發(fā)起攻擊，防御者阻斷大量的肉雞，也不能阻止攻擊者組織下一次的“沖鋒”。云計(jì)算服務(wù)的獲得，大多數(shù)通過(guò)網(wǎng)絡(luò)身份鑒別的，跨地域、跨國(guó)界的很多，直接用虛擬機(jī)作為“跳板”，攻擊者到虛擬機(jī)的鏈接是私有加密的，服務(wù)商即使發(fā)現(xiàn)攻擊者的命令是自己的虛擬機(jī)發(fā)出的，也很難定位后臺(tái)的控制者。如果再通過(guò)幾個(gè)云計(jì)算服務(wù)商之間的虛擬機(jī)，跳來(lái)跳去，就更加難發(fā)現(xiàn)真正的攻擊控制者了。

4、云計(jì)算管理平臺(tái)：云計(jì)算管理平臺(tái)是云計(jì)算服務(wù)的核心(包括業(yè)務(wù)運(yùn)營(yíng)管理與資源虛擬化管理兩部分)，這里發(fā)生“故障”，常常對(duì)服務(wù)是致命的。這里防護(hù)的不僅是來(lái)自外來(lái)的入侵者，更重要的是防備內(nèi)部人員的“誤操作”：

? 黑客入侵：入侵到這里，就成為整個(gè)云計(jì)算服務(wù)的“主人”，不僅可以掌握該服務(wù)商所有的用戶(hù)資料、計(jì)費(fèi)信息，而且可以自由監(jiān)控任何用戶(hù)的業(yè)務(wù)動(dòng)態(tài)，當(dāng)然隨意為自己開(kāi)設(shè)專(zhuān)用虛擬機(jī)更是小菜一碟了。

因?yàn)樵朴?jì)算安全非常重要，一般選用專(zhuān)業(yè)的公司管理，關(guān)閉遠(yuǎn)程管理通道，多維度安全加固，目前黑客入侵選擇比較多的是通過(guò)虛擬機(jī)“溢出”，或者是平臺(tái)自身的漏洞；

? 內(nèi)部人員：嚴(yán)密的防護(hù)，必然導(dǎo)致攻擊轉(zhuǎn)向“內(nèi)部實(shí)施”。因此，安全管理者應(yīng)該警惕的是發(fā)生的“失誤”，確實(shí)是工作人員的操作失誤；其中相當(dāng)多的可能是“有意”，也許是攻擊者冒充內(nèi)部人員的，也許是內(nèi)部人員被攻擊者收買(mǎi)的?？傊?，大多用戶(hù)敏感信息泄漏的案例說(shuō)明，內(nèi)部人員的“監(jiān)守自盜”概率很高。當(dāng)然內(nèi)部管理問(wèn)題造成的業(yè)務(wù)中斷案例也是非常多的，如2011年4月的亞馬遜Web服務(wù)中斷是因?yàn)橄到y(tǒng)的升級(jí)造成的。

5、數(shù)據(jù)中心：云計(jì)算服務(wù)在用戶(hù)看來(lái)是虛擬的，但最終的“工作”還是要落實(shí)到物理的機(jī)器與設(shè)備上，支撐云計(jì)算服務(wù)的數(shù)據(jù)中心是實(shí)實(shí)在在的，是清晰可查的，因此，對(duì)于云計(jì)算服務(wù)商來(lái)說(shuō)，物理安全同樣重要：

? 設(shè)備故障：機(jī)房?jī)?nèi)設(shè)備故障、自然災(zāi)難等對(duì)用戶(hù)服務(wù)都有非常大的影響，即使用戶(hù)數(shù)據(jù)被異地容災(zāi)，但對(duì)實(shí)時(shí)性要求強(qiáng)的服務(wù)業(yè)務(wù)，如視頻會(huì)議、遠(yuǎn)程醫(yī)療等，處理能力的大幅度下降必然影響這些服務(wù)的提供質(zhì)量；

? 數(shù)據(jù)泄密：盜取物理介質(zhì)，或人為拷貝復(fù)制，看似原始簡(jiǎn)單，卻是很實(shí)用的獲取方法。

這是在云計(jì)算服務(wù)商方面的“五大戰(zhàn)場(chǎng)”，較量時(shí)難免的。在用戶(hù)終端方面，同樣是安全的多發(fā)地，這里也是安全最薄弱、情況最復(fù)雜的地方，病毒、木馬、蠕蟲(chóng)的傳播，直接隨著“用戶(hù)業(yè)務(wù)”，合法地流進(jìn)云計(jì)算的服務(wù)端。不能“凈化”的終端，對(duì)服務(wù)商也是服務(wù)難以保障的一個(gè)總要原因。

總之，在云計(jì)算中，網(wǎng)絡(luò)的邊界沒(méi)有了，使用者與攻擊者的位置上模糊了，邊界隔離的安全理論不是很適用了。在新的業(yè)務(wù)環(huán)境下，用戶(hù)業(yè)務(wù)流成為業(yè)務(wù)管理、安全防護(hù)的基本單位，對(duì)用戶(hù)業(yè)務(wù)流的“隔離”與控制是安全防護(hù)的最基本單位，信息安全從網(wǎng)絡(luò)“數(shù)據(jù)包”控制，變成按用戶(hù)業(yè)務(wù)流控制的新模式。

漏洞是黑客關(guān)注的，也是安全管理者關(guān)注的，這里是安全攻防的焦點(diǎn)，是雙方爭(zhēng)奪的戰(zhàn)略要地。

總結(jié)

以上是生活随笔為你收集整理的电脑开虚拟机（自己开虚拟机ddos）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。