任何遭遇过DDoS攻击的企业都知道这种攻击会造成严重的破坏。除了显而易见的影响，例如性能下降或企业网站完全无法访问，还有不太明显的影响，例如，如果企业在IaaS或甚至主机托管提供商那儿选择“基于使用量的定价”，DDoS攻击会给企业造成财务损失。当这些企业需要为带宽或CPU时间付费时，DDoS相关的成本影响非常显著。

鉴于分布式拒绝服务（DDoS）攻击可能会带来非常严重的后果，我们看到市场上涌现出很多专门防御或缓解这种类型攻击的技术。这些技术依靠不同的机制；例如，一种技术利用云计算来缓解DDoS攻击的影响，它会通过云服务提供商的DNS重置路由过滤有问题的流量。最常见的方法是调整DNS记录将对客户Web服务器的请求发送至云服务提供商，云服务提供商作为入站请求的反向代理，他们会过滤恶意流量并将合法流量返回给客户。

这种解决方案有很多优势：它不需要修改客户的网站，不需要部署新硬件，并可以快速启用或禁用。然而，依靠DNS重置路由也可能让问题复杂化。由于流量会首先通过DNS解析到达云服务提供商，攻击可绕过域名解析（例如直接瞄准底层客户IP地址），使其完全可以绕过这种保护机制。

CloudPiercer

从实践来看，这里带来的启示是：隐藏客户想要保护的服务的源IP很重要。事实上，这种缓解服务带来的价值与获取原始信息的难易程度有关，这些信息隐藏得越好，攻击者越难发起攻击。

这是比利时Leuven大学和纽约州立大学Stony Brook分校研究人员提出的观点，他们对很多用于发现服务器（这些服务器受基于DDoS防护技术保护）原始IP的技术进行了测试。他们查看了IP历史数据库、解析到原始IP的子域名（例如用于SSH连接的子域名）、DNS信息（例如不指向云服务提供商的MX记录）、可能包含IP信息的文件、引用和证书信息。他们的CloudPiercer研究网站提供了一种扫描工具来为管理员部署各种方法，帮助他们了解其环境是否存在风险。

这种方法很重要的原因不仅在于大部分网站都容易受到攻击，也因为这些方法很可能被精明的攻击者利用。例如，在CloudPiercer网站的部署会查看PHP信息文件；然而，这些肯定不是唯一包含服务器IP地址的文件：备份文件或脚本也可能包含这些信息。

我们可以做些什么？

对于基于云的DDoS防护，受云计算保护的Web服务器的原始IP暴露可不是什么好事儿，这应该引起安全人员的关注。要紧的是，如果使用基于云的DDoS防护服务，他们可以怎么做来确保受到保护？对于正在评估DDoS缓解工具和战略的企业，这会有什么影响？

对于已经在使用云服务作为其DDoS防护战略一部分的企业，他们必须了解他们是否正在暴露这些信息，以及他们是否在采取措施来防止这些信息在今后被泄露。为了确定他们现在是否在泄露这些信息，第一步可以利用CloudPiercer研究团队提供的免费的扫描器。但是，这个工具并没有涵盖其他方面，有些企业可能希望采取更全面的分析。例如，他们可能想要评估渗透测试是否可确保这些信息得到了真正的隐蔽。

在他们了解他们目前是否受到了影响后，他们可建立流程来确保这些信息在之后不会被泄露。对于不同的公司，可能会选择不同的方法，但他们可以考虑定期扫描、检索主机IP的内容变化，以及评估这些变化、针对该问题或其他适合环境的其他技术对开发人员进行教育。

对于正在评估基于云的DDoS防护工具及服务的企业，重要的是认识到这个问题的存在，并围绕这个问题制定计划。有些解决方案可能涉及构建上述程序来最大限度减少/防止信息泄露。这意味着基于设备的内部部署解决方案更加重要，因为我们可以预测挑战，保持企业隐蔽性以及考虑在云中运行但利用BGP的服务，很多供应提供两种选项。

企业应该认真思考这个问题，并将其融进安全规划中，因为DDoS缓解非常重要，如果想从所购买的服务中获取最大的价值，企业就需要认真理解和规划这一问题。