黑客并不只是窃取数据那么简单;他们还可能使用某些垃圾邮件的请求和流量来让应用运行崩溃。可以使用一些工具和技术来保护您的云免受DDoS攻击的危害。

　　公共云服务并不是IT世界中的世外桃源，它无法对安全方面的威胁免疫，它一样会受到那些致命攻击的入侵，其中就包括了拒绝服务攻击。即便攻击者无法入侵某个工作负载或者窃取存储在公共云中的数据，他们仍然能够通过超量的合法服务请求或流量来堵塞网络，从而降低云应用的运行性能，或者完全禁止某个应用或服务。

　　虽然公共云用户无法防止每一次进攻，但却可以采用一些重要措施来降低拒绝服务(DoS)或分布式拒绝服务(DDoS)攻击的负面影响。一个强大的云DDoS和Dos保护计划可保护您的基础设施，以免在恶意攻击压力下岌岌可危。

　　什么是云计算中的Dos或DDoS攻击?

　　在云中，每一个应用都是在一个网络、计算和存储的基础设施中运行的。而其中每一种资源都有着一个最大的可用上限。例如，一台网络交换机每秒钟只能转发和扩散一定数量的数据包。当基础设施收到更多的请求或流量超出其应用限值时，应用程序就会忽略那些多余的请求并拒绝服务。

　　对于任何计算基础设施来说，这种拒绝服务行为都是一个正常的行为。但是，DoS攻击就是通过有意识地使用超大流量请求消耗基础设施的可用资源来恶意扩大这种拒绝服务的负面影响。如果攻击成功，DoS攻击可能会让一个应用(甚至整个计算基础设施)在数小时、数天乃至数周时间内都无法被访问。

　　一个DoS攻击通常都是从同一个IP地址发出的，所以使用防火墙技术发现并禁止其访问是相对比较容易的。而DDoS攻击则不同，它常常比DoS攻击要更加的危险，因为它发起攻击的IP数量更多，从而让管理人员更难以识别它们，更不用说如何来防范它们了。

　　DoS或DDoS攻击对云应用的影响效果与对本地部署应用的影响相类似;即，运行性能下降，应用可能无法访问。使用云监控资源，例如公共云供应商所提供的监控工具或日志记录工具就可发现并解决这一问题。

　　什么工具可以有助于防范云DDoS或DoS攻击?

　　针对恶意服务请求的最基本云DDoS和DoS保护措施就是传统的防火墙。但是，防火墙本身的管理与配置也是一个难题，而且非常耗时，特别对于DDoS攻击来说尤是如此。基于云的应用程序让这个问题变得更复杂了，因为企业用户几乎或根本就没有办法了解公共云中的流量信息。

　　这一状况也推动了保护本地与云应用程序的第三方服务的发展。市场上有着无数的云DDoS保护工具与服务，其中包括了来自于Imperva、CloudFlare、Akamai以及Verisign等公司的产品。这些服务通常都是以代理服务器形式工作：一个应用程序的流量首先被送入代理服务，由这个代理服务来识别和过滤恶意服务请求。然后，剩下的非恶意服务请求就会被送至应用程序。

　　采用第三方云DDoS或DoS保护服务的企业用户必须同时考虑可用性和可靠性两方面;如果这个服务出现故障，那么受保护的应用程序也可能变得不可用。

　　谷歌选择使用SDN来应对DoS攻击

　　不同的供应商采用不同的措施来帮助用户保护他们存储在云中的数据。例如，谷歌公司有一个可用于提供、配置和管理虚拟网络的Andromeda，这是一个软件定义网络。其目的在于创建一个安全、高性能和可编程的环境，以用于托管谷歌计算引擎的虚拟机。

　　Andromeda架构包括了一个DDoS攻击保护措施，同时还提供了透明负载均衡、路由、访问控制列表和防火墙，上述所有这些功能都使用了底层的Andromeda API和基础设施。

　　用户还能如何防止云DDoS或DoS攻击?

　　虽然目前还没有哪一个服务或工具能够确保完全防范DoS和DDoS攻击，但还是有一些应用设计和部署策略能够有助于减少这些恶意攻击的负面影响，特别是当在公共云中部署工作负载时尤是如此。

　　充分利用公共云平台(例如谷歌云平台或亚马逊网络服务)中的可用冗余资源，并在多个地区或区域部署实例。如果一个地区或区域因中断或攻击事件受到影响，那么用户仍然有可以正常接收服务请求并做出响应的替代实例。

　　应当向软件开发人员和云供应商工程师咨询，设计出一个可以为每一个特定应用程序提供所需弹性的云架构。请记住，所有的应用都是不一样的，其中只有最关键任务工作负载才需要这样的弹性。

  当然，还有一些通用的应对措施可以帮助用户检测和防范云DDoS和DoS攻击。安装和维护反恶意软件综合工具;定期对操作系统和应用程序进行打补丁和升级等操作;对API调用使用认证机制;以及对本地防火墙或公共云防火墙进行配置以关闭不使用的端口。