近期某些主流媒体的新闻报导中提到了关于美国知名银行的一些DDoS攻击事件。这类攻击肯定不是新的，但它们在一定基础上不断地发生，这种情况下，就值得我们注意了，因为这些攻击显然都来自同一地区，并且它们的目标都异常精确。

　　当然，很多新闻都纯属炒作，说什么黑客如何对我们的金融系统进行黑客攻击和网络攻击的，事实上我们知道真正的DDoS跟这些攻击还是有很大区别的。为此，我们来了解一下DDoS的基本知识和应对大规模攻击的相关配置，这些都很重要。

　　尽管大型网站经常受到攻击，并且在超负荷的负载下，这些公司网络仍然要竭尽所能地去转移这些攻击，而且是最最重要是要保持他们的网站能够正常地浏览。即便你管理的是一个小站点，比如小公司或者小型网站这种规模的网络，你仍然不知道什么时候就有人会对你下黑手。那么截下来，让我们一起来看看DDoS背后的一些细节和攻击方式，以便于我们能够让我们的网络更加地安全。

　　DDoS攻击的多种途径

　　拒绝服务曾经是一种非常简单的攻击方式。有些人开始在他们的电脑上运行PING命令，锁定目标地址，让其高速运转，试图向另一端发送洪水般的ICMP请求指令或者数据包。当然，因为这边发送速度的改变，攻击者需要一个比对方站点更大的带宽。首先，他们会搬到有大型主机的地方，类似有大学服务器或者教研所那样的大型带宽的地方，然后从这里发出攻击。但现代的僵尸网络在任何情况下几乎都能使用，相对来说它的操作更简单，使攻击完全分布开来，显得更加隐蔽。

　　事实上，因为恶意软件的制造者，僵尸网络的运营已经成为了一条鲜明的产业链。实际他们已经开始出租那些肉机，并且按小时收费。如果有人想要搞垮一个网站，只要给这些攻击者付够钱，然后就会有成千上万的僵尸电脑去攻击那个网站。一台受感染的电脑或许无法把一个站点搞垮，但若是有10000台以上的电脑同时发送请求，它们会将把未受保护的服务器"塞满"。

　　多种攻击类型

　　用PING命令就可以执行操作ICMP请求，这个请求非常容易造成网络堵塞。DDoS攻击可以通过多种途径来完成，ICMP也只是其中之一。

　　此外，有一种Syn攻击，发动这种攻击时，实际上仅仅是打开了一个TCP链接，之后通常会连接到一个网站上，但关键是，这个操作并没有完成初始握手，就离开了挂靠的服务器。

　　另一种聪明的做法是使用DNS。有很多网络供应商都有自己的DNS服务器，而且允许任何人进行查询，甚至有些人都不是他们的客户。并且一般DNS都使用UDP，UDP是一种无连接的传输层协议。有了以上两个条件作为基础，那些攻击者就非常容易发动一场拒绝服务攻击。所有攻击者要做的就是找到一个开放的DNS解析器，制作一个虚拟UDP数据包并伪造一个地址，对着目标网站将其发送到DNS服务器上面。当服务器接收到攻击者发送的请求，将会信以为真，并且向伪造地址发送请求回应。事实上是目标网站接收了互联网上一群开放的DNS解析器的请求与回复，从而代替了僵尸网络的攻击。另外，这类攻击具有非常大的伸缩性，因为你可以给DNS服务器发送一种UDP数据包，请求某一侧的转存，造成一个大流量的回应。

　　如何保护你的网络

　　正如你所见，DDoS攻击五花八门，防不胜防，当你想建立一个防御系统对抗DDoS的时候，你需要掌握这些攻击的变异形态。

　　最笨的防御方法，就是花大价钱买更大的带宽。拒绝服务就像个游戏一样。如果你使用10000个系统发送1Mbps的流量，那就意味着你输送给你的服务器每秒钟10Gb的数据流量。这就会造成拥堵。这种情况下，同样的规则适用于正常的冗余。这时，你就需要更多的服务器，遍布各地的数据中心，和更好的负载均衡服务了。将流量分散到多个服务器上，帮助你进行流量均衡，更大的带宽能够帮你应对各种大流量的问题。但现代的DDoS攻击越来越疯狂，需要的带宽越来越大，你的财政状况根本不允许你投入更多的资金。另外，绝大多数的时候，你的网站并不是主要攻击目标，很多管理员都忘了这一点。

　　网络中最关键的一块就是DNS服务器。将DNS解析器处于开放状态这是绝对不可取的，你应当把它锁定，从而减少一部分攻击风险。但这样做了以后，我们的服务器就安全了吗？答案当然是否定的，即使你的网站，没有一个可以链接到你的DNS服务器，帮你解析域名，这同样是非常糟糕的事情。大多数完成注册的域名需要两个DNS服务器，但这远远不够。要确保DNS服务器以及网站和其他资源都处于负载均衡的保护状态下。你也可以使用一些公司提供的冗余DNS。比如，有很多人使用内容分发网络（分布式的状态）给客户发送文件，这是一种很好的抵御DDoS攻击的方法。若你需要，也有很多公司提供了这种增强DNS的保护措施。

　　若是你自己管理你的网络和数据，那么就需要着重保护你的网络层，要进行很多配置。首先确保你所有的路由器都能够屏蔽垃圾数据包，剔除掉一些不用的协议，比如ICMP这种的。然后设置好防火墙。很显然，你的网站永远不会让随机DNS服务器进行访问，所以没有必要允许UDP 53端口的数据包通过你的服务器。此外，你可以让你的供应商帮你进行一些边界网络的设置，阻止一些没用的流量，保证你能够得到一个最大的最通畅的带宽。很多网络供应商都给企业提供这种服务，你可以与其网络运营中心联系，让他们帮你优化流量，帮你监测一下你是否到了攻击。

　　类似Syn的攻击，也有很多方法来阻止，比如通过给TCP积压，减少Syn-Receive定时器，或者使用Syn缓存等等。

　　最后，还得想想如何在这些攻击到达你网站前就将它们拦截住。例如，现代网站应用了许多动态资源。在受到攻击的时候其实带宽是比较容易掌控的，但最终往往受到损失的是数据库或是你运行的脚本程序。你可以考虑使用缓存服务器提供尽可能多的静态内容，还要快速用静态资源取代动态资源并确保检测系统正常运行。

　　最糟糕的一种情况就是你的网络或站点完全瘫痪了，你应该在攻击刚刚开始的时候就做好预备方案。因为攻击一旦开始，想要从源头阻止DDoS是非常困难的。最后，你应该好好琢磨琢磨如何让你的基础建设更加合理与安全，并且要着重注意你的网络设置。这些都是非常重要的。

　　一个风起“云”涌的IT时代，展现的是一种全新的动态IT基础设施。和传统的IT基础设施相比，虚拟化成为目前整个IT基础架构的变革性创新技术，对计算、存储、网络都产生了长远的影响。

　　在数据中心等场景中引入虚拟化技术之后，服务器接入网络的位置往往是不固定的。虚拟化平台为了实现同一物理服务器上不同虚拟机的交换，需要用CPU资源来模拟一个虚拟交换机，而这个“软的虚交换机”模糊了网络和服务器的界限，一时数据中心网络有点“找不着北”。网络则不得不需要进行针对性的调整：

　　·服务器的利用率从20%提高到80%，服务器端口流量大幅提升，对数据中心网络承载性能提出了巨大的挑战，对网络可靠性要求也更高；

　　·多种应用部署在同一台物理服务器上运行，使网络流量在同一台物理服务器上产生叠加，流量模型更加不可控；

　　·服务器虚拟化技术的应用必然伴随着虚拟机的迁移，这种迁移需要一个苛刻的网络环境来保障；

　　·服务器虚拟化是支撑开放平台的核心技术之一，满足虚拟机的迁移，满足业务无属地化部署的数据中心网络是必须要考虑的问题。

　　数据中心网络应对之道

　　核心交换高性能

　　虚拟化给网络带来了性能挑战，根据目前大量的案例和实践总结分析，数据中心网络主要面临的瓶颈是数据中心的核心交换设备，它做为数据中心所有业务系统之间，以及业务系统和用户之间的交换枢纽，将会是所有流量汇集的地方，所以网络核心的性能压力最大，是可能的瓶颈所在。

　　网络技术和数据中心的发展，同样推动了数据中心级交换机的出现，目前数据中心级的核心交换机已经成为了数据中心网络核心的宠儿。基于CLOS的多级交换架构，使其具备了百T以上的交换容量，能够支持高密度的万兆端口和未来的100GE 标准，具有更好的扩展性，能够很好的缓解数据中心网络核心的交换压力，解决核心网络性能瓶颈。

　　因此，在数据中心网络部署时，核心交换设备建议部署基于100G平台数据中心设备，以保障网络的性能和可靠性；在汇聚层通过部署万兆交换机及嵌入式安全业务模块，来消除安全系统的性能瓶颈，并提供更好的扩展性。

　　为虚拟机迁移铺路

　　当虚拟机在物理服务器之间进行迁移，为了避免虚拟机迁移后路由的震荡和修改网络规划，迁移只能在二层域进行，因此数据中心需要具备一个性能更高、二层域更大的网络环境为迁移提供保障。在传统的数据中心网络中，都是通过STP+VRRP的方式进行网络拓扑设计，但由于STP+VRRP的设计和维护都比较复杂，这种设计在很大程度上阻碍了其二层域的扩大，随着服务器的数量和网络设备的增多，这种网络设计方式将会变得无法实施。同时，虚拟机的迁移对网络的可用性要求也非常高，在STP+VRRP的组网中，如果链路出现故障，其收敛时间都在秒级，增加了应用系统迁移的限制。

　　以上问题可以通过网络虚拟化技术来解决，在数据中心的应用中，网络虚拟化主要是通过将多台物理设备虚拟成一台逻辑设备的方式，来减少设备节点，并通过跨设备链路聚合技术取代传统部署方式中的STP+VRRP协议，使网络拓扑变得简洁，具备更强的扩展性，以满足虚拟机迁移所需要构建的二层网络环境，同时，其毫秒级的故障收敛时间，为虚拟机迁移提供了更加宽松的实现环境。

　　网络虚拟化技术主要在数据中心的交换机上实现，在服务器接入层、网络汇聚层、核心层可以分别进行部署。

　　开放融合

　　服务器的虚拟化使得虚拟网络出现，服务器IO的融合使得融合网络出现，网络如何与服务器和业务更好的结合，形成完整的高效低成本的云计算解决方案，显得尤为关键。云网络需要在如下几方面创新：

　　首先，通过业务平台提供开放的API接口，向应用层开放。如通过标准化的Openflow/SDN接口，把网络的能力，包括转发、QOS、安全控制等开放给上层的应用平台，如OpenStack或者其他的云计算平台。

　　其次，通过标准的框架，向第三方的增值业务开放。如网络设备提供基于通用CPU和OS的开放平台，能够提供给第三方的防火墙，IDS/IPS，应用加速，流量分析应用。

　　第三，基于国际标准制定网络协议和标准，保证业界主流设备厂家的互通。

　　很多厂商都朝开放融合方向发展，但开放的程度却不一样。值得一提的是，华为在这方面显得尤为积极和突出，它的虚拟服务器接入方案，适应业界主流的虚拟操作系统，包括Vmware,HyperV, Xen等虚拟操作系统平台；将推出的开放增值业务平面，可集成第三方的防火墙，IDS/IPS，负载均衡器，应用加速等应用。据悉，未来全面支持SDN架构，给第三方以及上层应用，提供开放的API接口,支持进行灵活的编程，重新定义网络的行为，并且与主流的云平台无缝对接。

　　总结

　　虚拟化计算发展过程中，网络的界面被重新定义，数据交换实体也逐步发生变迁。当然，它带来的影响不止局限在网络上，虚拟化技术在数据中心的整合、简化流程、灾难恢复备份、实现企业业务一致性等方面都起到了很重要的作用，企业的存储系统和管理系统都需要为云时代来临做好准备。

　　什么是云存储

　　云存储的概念与云计算类似，它是指通过集群应用、网格技术或分布式文件系统等手段，将网络中各种不同类型的存储设备通过应用软件集合起来协同工作，共同对外提供数据存储和业务访问功能的一个系统。

　　通俗意义上讲，云存储系统中的所有设备对使用者都是完全透明的，任何一个经过授权的使用者都可以通过接入网络与云存储连接，对云存储进行数据访问。它是一种存储整合应用的方式。

　　目前企业存储现状分析

　　大多数企业通过不断增加磁盘、阵列和服务器，努力满足来自用户和应用的不断增长的存储需求。随着时间的推移，这些企业的数据中心都会面临存储分散的问题，数据存储在数据中心的磁盘和系统，遍布于企业内部。通过SAN可以解决部分系统的数据集中问题。但是很多SAN是服务于特定的应用群，当企业内部出现若干个应用群时，也就出现了多个孤立的SAN，形成数据孤岛(见图)。在这种情况下，很多企业已经将云存储和虚拟化概念引人企业的存储系统中，如何在现有的环境下利用云存储的模式对现有设备进行整合已经成为许多数据中心的首先考虑的问题。

　　整合方式技术分析

　　1 存储虚拟化叠台

　　存储虚拟化是当前流行的一种整合方式，它通过将多个目标设备或服务与其它附加的功能集成。统一提供全面的功能服务。典型的虚拟化屏蔽系统的复杂性。增加或集成新的功能，仿真、整合现有的服务功能等。虚拟化作用在一个或者多个实体上，而这些实体则是用来提供存储资源或服务的。

　　存储的虚拟化可以在3个不同的层面上实现：基于专用卷管理软件在主机服务器上实现、利用阵列控制器的固件在磁盘阵列上实现或者利用专用的虚拟化引擎在存储网络上实现。

　　1.1 基于主机的虚拟化

　　如果仅仅需要单个主机服务器(或单个集群)访问多个磁盘阵列，可以使用基于主机的存储虚拟化技术。虚拟化的工作通过特定的软件在主机服务器上完成，经过虚拟化的存储空间可以跨越多个异构的磁盘阵列。

　　这种虚拟化通常由主机操作系统下的逻辑卷管理软件来实现，其最大优点是久经考验的稳定性，以及对异构存储系统的开放性。它与文件系统共同存在于主机上，便于二者的紧密结合以实现有效的存储容量管理。卷和文件系统可以在不停机的情况下动态扩展或缩小。

　　1.2 基于存储设备的虚拟化

　　当有多个主机服务器需要访问同一个磁盘阵列时，可以采用基于阵列控制器的虚拟化技术。此时虚拟化的工作是在阵列控制器上完成，将一个阵列上的存储容量划分多个存储空间(LUN)，供不同的主机系统访问。

　　智能的阵列控制器提供数据块级别的整合，同时还提供一些附加的功能，例如：LUN Masking、缓存、即时快照、数据复制等。配合使用不同的存储系统，这种基予存储设备的虚拟化模式可以实现性能的优化。

　　这种虚拟化不依赖于某个特定主机，能够支持异构的主机系统。但是对于每个存储子系统而言，它又是个专用私有的方案，不能够跨越各个存储设备间的限制，因此无法打破设备间的不兼容性。

　　1.3 基于存储网络的虚拟化

　　以上都是一对多的访问模式，而在现实的应用环境中，很多情况下是需要多对多的访问模式，也就是说多个主机服务器需要访问多个异构存储设备，其目的是为了优化资源利用率一多个用户使用相同的资源，或者多个资源对多个进程提供服务等。在这种情形下，存储虚拟化的工作就需要在存储网络上完成了。这也是构造公共存储服务设施的前提条件。

　　而以上描述的两种存储虚拟化方法的优点都可以在存储网络虚拟化上同时体现，它支持数据中心级的存储管理以及异构的主机系统和存储系统。

　　很多主流存储厂商利用第三种方式，对用户现有的存储环境提供一体化的存储虚拟化整合方案。这种方式可以解决简化管理界面和数据孤岛的问题，但是需要购买昂贵的虚拟存储设备，前期投人很大。

　　2 存储网络整合

　　如何更好地利用现有设备、在较少投资的情况下对原有环境进行整合是众多企业关心的核心问题。虚拟化主要是简化管理，采用统一的界面对所有设备进行管理，而底层设备间的互联、互通还需要通过光纤交换机实现。如果从网络层面入手，将多个孤立的FCSAN级联起来，构成一个大的云状存储环境，各种存储资源都存在于这个云内部，用户访问只需要一根线缆接人存储云，就可以实现对所需存储资源的访问。同时将各个SAN的管理网络统一在一个网络域内，通过单一网络界面对所有SAN进行管理。