網(wǎng)絡(luò)攻擊可以分為兩種情況：一種是從數(shù)據(jù)中心外部直接發(fā)動攻擊，這種攻擊公開，短平快，迅速達到摧毀數(shù)據(jù)中心網(wǎng)絡(luò)的目的;另一種是從數(shù)據(jù)中心內(nèi)部越權(quán)操作，這種攻擊隱蔽，長期潛伏在數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部，潛移默化，由量變到質(zhì)變，最終將數(shù)據(jù)中心網(wǎng)絡(luò)攻陷。兩種攻擊方式，一個表現(xiàn)張揚，另一個表現(xiàn)內(nèi)斂，而目標都是網(wǎng)絡(luò)，只是操作手法上有所不同而已。從外部發(fā)起的攻擊，攻擊速度快，如果數(shù)據(jù)中心沒能抗住，很快就會被攻陷，而從內(nèi)部發(fā)起的攻擊，速度緩慢，稍有不慎就會被殲滅，在這個過程中網(wǎng)絡(luò)有很多機會可以挫敗攻擊。不管是哪種攻擊，要么是消耗網(wǎng)絡(luò)資源，網(wǎng)絡(luò)數(shù)據(jù)無法傳遞，要么是利用IP協(xié)議的缺陷，產(chǎn)生網(wǎng)絡(luò)表項紊亂。

 

 

數(shù)據(jù)中心網(wǎng)絡(luò)資源包括帶寬、CPU、內(nèi)存緩存、軟件資源等。通過攻擊侵占到這些資源，致使網(wǎng)絡(luò)運轉(zhuǎn)不正常。比如通過向數(shù)據(jù)中心網(wǎng)絡(luò)注入大量的垃圾流量，將帶寬占滿，正常業(yè)務(wù)的流量因缺少帶寬，出現(xiàn)擁塞丟包，業(yè)務(wù)出現(xiàn)異常。此外，可以向網(wǎng)絡(luò)注入大量的流量控制報文，造成帶寬擁塞的假象，降低網(wǎng)絡(luò)轉(zhuǎn)發(fā)速度，從而使業(yè)務(wù)流量轉(zhuǎn)發(fā)速率也隨之降下來;網(wǎng)絡(luò)攻擊有時還會針對網(wǎng)絡(luò)設(shè)備發(fā)起協(xié)議攻擊，引起設(shè)備的CPU升高，尤其是交換機設(shè)備，CPU防攻擊能力都比較弱，CPU主要承擔控制協(xié)議的處理，CPU過高就會影響到一些協(xié)議報文的正常處理，會造成協(xié)議超時震蕩，嚴重時可以造成設(shè)備無響應，掛起的故障。當數(shù)據(jù)中心網(wǎng)絡(luò)的重要節(jié)點被如此攻擊后，將可能導致整個網(wǎng)絡(luò)協(xié)議工作不正常，網(wǎng)絡(luò)處于不穩(wěn)定狀態(tài);網(wǎng)絡(luò)攻擊有時還會對設(shè)備發(fā)起內(nèi)存攻擊，通過大量的網(wǎng)絡(luò)連接消耗設(shè)備內(nèi)存，導致設(shè)備內(nèi)存迅速被耗盡，設(shè)備被異常重啟，導致網(wǎng)絡(luò)業(yè)務(wù)中斷。有的時候如果設(shè)備存在軟件BUG，在一些特定情況下出現(xiàn)內(nèi)存泄露，這一點也有可能被攻擊者所利用，然后觸發(fā)設(shè)備的內(nèi)存泄露，一點點將設(shè)備的內(nèi)存消耗光，最終陷入異常;網(wǎng)絡(luò)還有很多協(xié)議軟件資源，比如TCP端口號或者TCP會話數(shù)，通過攻擊去消耗這些網(wǎng)絡(luò)資源，最終讓網(wǎng)絡(luò)系統(tǒng)走向崩潰，也是一種方法?？梢姡木W(wǎng)絡(luò)資源是網(wǎng)絡(luò)攻擊的一種非常重要的方式，惡意將網(wǎng)絡(luò)資源耗盡，從而觸發(fā)網(wǎng)絡(luò)異常，致使數(shù)據(jù)中心陷入癱瘓。

 

 

以太網(wǎng)協(xié)議雖然已經(jīng)經(jīng)歷了四十幾年的發(fā)展，依然有一些協(xié)議漏洞，存在安全性問題，不少網(wǎng)絡(luò)攻擊都是利用這些已知缺陷，達到攻陷網(wǎng)絡(luò)的目的。這些缺陷包括網(wǎng)絡(luò)系統(tǒng)缺陷、軟件漏洞、協(xié)議工作機制等等。比如IP分片處理漏洞經(jīng)常被利用作為攻擊源。IP首部有兩個字節(jié)表示整個IP數(shù)據(jù)包長度，所以IP數(shù)據(jù)包最長只能為0xFFFF，即65535字節(jié)。如果有意發(fā)送總長度超過65535的超大包，一些老系統(tǒng)內(nèi)核在處理時候就會出現(xiàn)問題 ，導致崩潰或者拒絕服務(wù)。如果IP分片之間偏移量是經(jīng)過精心構(gòu)造，一些系統(tǒng)就無法處理，導致死機。比如ping o'death 、teardrop和jolt2等，原理都是利用發(fā)送異常IP分片，如果操作系統(tǒng)的內(nèi)核在處理分片重組時沒有考慮到所有異常情況，將可能引向異常的流程;針對網(wǎng)絡(luò)協(xié)議發(fā)起的攻擊類型也比較多，七層網(wǎng)絡(luò)幾乎都有被攻擊的可能，就連使用最廣的ARP協(xié)議，都存在協(xié)議漏洞，ARP欺騙就是其中一種。這是因為在ARP緩存表中存在一個缺陷，就是當請求主機收到ARP應答包后，不會去驗證自己是否向?qū)Ψ街鳈C發(fā)送過ARP請求包，就直接把這個返回包中的IP地址與MAC地址的對應關(guān)系保存進ARP緩存表中，如果原有相同IP對應關(guān)系，原有的則會被替換。ARP欺騙通過冒充網(wǎng)關(guān)或其他主機使得到達網(wǎng)關(guān)或主機的流量通過攻擊進行轉(zhuǎn)發(fā)。通過轉(zhuǎn)發(fā)流量可以對流量進行控制和查看，從而控制流量或得到機密信息。還有ICMP、TCP、DHCP等大量通用的網(wǎng)絡(luò)協(xié)議均存在缺陷，這緣于早期進行網(wǎng)絡(luò)協(xié)議設(shè)計的時候并未過多考慮安全性，而是將注意力都放在了互通性上，在后來的IPv6設(shè)計中已經(jīng)將安全作為一項重要因素加以考慮，所以在IPv6協(xié)議上安全性得到很大提升。

 

無論是利用網(wǎng)絡(luò)資源，還是協(xié)議缺陷，最終都是希望對數(shù)據(jù)中心網(wǎng)絡(luò)造成破壞，這類網(wǎng)絡(luò)攻擊預期達到的效果基本都是希望對網(wǎng)絡(luò)造成破壞，將數(shù)據(jù)中心網(wǎng)絡(luò)搞癱。很少能從網(wǎng)絡(luò)攻擊中獲取機密數(shù)據(jù)，因為數(shù)據(jù)中心核心的數(shù)據(jù)基本都存在于存儲設(shè)備中，網(wǎng)絡(luò)傳遞過程中的海量數(shù)據(jù)，一一截取、破譯去獲得機密數(shù)據(jù)將是一個非常復雜和困難的過程，要從海量數(shù)據(jù)中找到有價值的數(shù)據(jù)也非常耗時。所以，網(wǎng)絡(luò)攻擊主要希望得到的是破壞性的效果，攻擊性強主要體現(xiàn)在破壞力上。近期，數(shù)據(jù)中心網(wǎng)絡(luò)安全問題逐漸引起了更多人關(guān)注，網(wǎng)絡(luò)協(xié)議標準早就頒布，已不可能做太多改變，數(shù)據(jù)中心就需要根據(jù)網(wǎng)絡(luò)攻擊的常用模型，有針對性地做防護，在關(guān)鍵位置增加安全防護設(shè)備，保護數(shù)據(jù)中心脆弱的網(wǎng)絡(luò)系統(tǒng)。