IT研究专家将云计算，更加精巧的物理设计，节约能耗和大型数据工作负载看做是构建新型数据中心的最重要因素。

　　许多IT行业的专业人士认为云计算服务和系统的融合是数据中心构建和管理中最强有力的发展趋势，所有的迹象都坚定不移的指向了这个方向。

　　为了佐证这个观点，市场研究公司Gartner做出了更进一步的大胆预测，他们宣称当许多企业用户开始向IT的新阶段过渡时，目前有超过四种的重要推动力直接影响着数据中心的构建或者更新。

　　Gartner研究公司在一份3月15号发表的市场调研报告中表示，在未来五年内，会对数据中心产生至关重要影响的因素不仅包括云计算系统的发展潜力，还包括更加精巧的物理设计，对节能和其他环境因素的重视，以及即将到来的IT系统中大型数据工作负载的现实情况。

　　这里面隐含了向数据中心硬件融合方向发展的趋势，在数据中心融合领域，体积更小的系统中可以包含更多的功能。举例来说，来自不同厂商的服务器，存储和网络功能可以包括在一个应用工具中。

　　Gartner研究公司营销副总裁兼基础架构首席分析师戴维。卡布西欧表示“在IT的世界里，每件事情都相互作用和影响，但在用传统方式构建的数据中心里，如果不了解将对数据中心成本，规模和使用寿命会产生影响的外界因素的话就无法工作”。

　　“不过这些特别的因素会按照你的偏好发挥作用，为你提供应用创新设计，降低资金成本和运营费用，提高可持续发展规模和维系业务运作的方法”。

　　主要的IT系统制造商和集成商都很敏锐的察觉到了这一点。包括惠普，IBM，EMC，思科系统公司，甲骨文和埃森哲等公司在内的行业领先企业，甚至还有一直致力于自己项目的微软公司，在过去几年里都在他们自己的数据中心设计服务中投入了大量资金。

　　最新研究报告提供细节

　　为了这个目的，卡布西欧发表了一份名为“逐渐缩小的数据中心：未来的数据中心将比你想象的更小”的最新研究报告。在这份报告中，卡布西欧指出了大型机时代的传统数据中心设计和新一代数据中心之间的主要区别。

　　“当下的数据中心根据工作负载，功能和设备年限的不同，对机械式/电子式系统有着许多不同需求”卡布西欧表示“新的设计会通过增加用于不同工作负载类型的密度区来加以考虑”。

　　大部分上一代的数据中心从空间使用方面来看都没有得到充分的利用，卡布西欧表示。

　　“物理空间可能接近满负荷，但在很多情况下，机架和服务器之间真实的计算空间的使用率却非常低下，全球平均的机架密度仅仅接近60%”卡布西欧强调说。

　　“更新的设计就是将重点放在解决这个问题上，研发的方向就是实现更加优化的机架密度，将机架密度的平均使用率提高到85%到90%，从而大大提高了每平方英尺的计算比率”卡布西欧称。

　　“私有云环境和资源池概念的出现将为用户提供提高数据中心垂直扩展能力的方法，同时还能提高系统每千瓦生产能力的比率”。

　　通常情况下，人们对DDOS的认识是知道它可以利用无用流量占据网络中的所有带宽，导致出现数据拥塞，从而无法进行正常工作的情况。当然，这确实属于DDoS攻击中的一类，不过，这一概念里实际上也包含了可以通过攻击占据服务器资源的其它类型。这就意味着，由于针对的是服务器资源，所以，不管网络带宽有多大，DDoS攻击也是有可能获得成功的。为了真正确保网络不受到类似攻击，互联网连接和服务器都需要进行防护。

　　通常情况下，DDoS攻击针对的是网络中的TCP/IP基础设施。这些攻击可以分为三种类型：一种是利用TCP/IP协议栈中存在的已知缺陷;一种是针对TCP/ IP的漏洞;最后一种就是尝试并进行真正的暴力攻击。

　　在最近的这些日子，由于僵尸网络在Windows系统中蔓延，这样的攻击变得更简单，也更普遍。将敌人网站淹没在无用数据的海洋中，不是一件非常快乐的事情么？

　　实际上，现在攻击者甚至不需要利用任何黑客的支持就可以发动拒绝服务攻击。来自威瑞信的消息显示，只要8.94美元每小时的价格，就可以从犯罪分子那里租用一张僵尸网络。

　　利用傻瓜软件就可以发动DDoS攻击的话，为什么还要付费呢?来自系统管理、网络和安全协会互联网风暴中心的消息显示，在这波针对商业公司发起的DDoS攻击浪潮中，人们开始使用低轨道离子加农炮，一种开源的DoS攻击工具来对卡或者维萨卡网站的端口进行攻击。使用者要做的事情仅仅就是用鼠标点击一下，攻击就正式开始了。

　　低轨道离子加农炮是一个功能非常强大的工具。它可以使用大规模的垃圾流量对目标网站实施攻击，从而耗尽网络资源，导致网络崩溃，无法提供服务。关于这起攻击，唯一“有趣”的事情是，推特被用来对攻击过程进行协调。

　　TCP/IP协议栈实现中存在的漏洞

　　对于利用TCP/IP协议中存在漏洞进行攻击的模式来说，典型的例子就是死亡之Ping攻击。利用这一漏洞，攻击者可以创建一个超过IP标准最大限制65536字节的IP数据包。当该巨型数据包进入使用存在漏洞的TCP/IP 协议栈和操作系统的系统时，就会导致崩溃。

　　所有的最新操作系统和协议栈都可以防范采用死亡之Ping模式的攻击，但是，时不时的，我就会发现有人还在运行无法防范死亡之Ping攻击的系统。这种情况告诉我们，大家都应该及时对网络设备和软件进行更新。仅仅因为它依然可以运行，并不等于这样的情况是安全的。

　　对TCP/IP运行中的漏洞进行攻击的另一种方式是撕毁模式，它利用的是系统对IP数据包分片进行重新组合时间存在的漏洞。由于网络是四通八达的，所以，IP数据包可能被分解成更小的分片。所有这些部分都包含了来自原始IP数据包的报头，以及一个偏移字段来标识里面包含哪些字节来自原始数据包。有了这些信息，在出现网络中断的情况下，被破坏的普通数据包就可以在目的地重新组合起来。而在撕毁攻击中，服务器将遭到来自包含了含有重叠偏移的伪造分片数据包的攻击。如果服务器或者路由器不能忽略这些分片，并尝试对他们进行重新组合的话，就会导致系统崩溃的情况很快出现。但如果系统及时进行了更新，或者拥有可以防范撕毁攻击的防火墙的话，就不用担心这类问题了。

　　TCP/IP协议中的漏洞

　　另一种古老而有效的DDoS攻击模式是同步攻击。同步的工作是用来在两个互联网应用之间通过协议建立握手。它的实现方法是通过一个应用程序发送一个TCP SYN（同步）数据包到另一个程序来启动会话过程。对应的应用程序将返回一个TCP SYN-ACK（同步确认）包；原始程序接下来就利用个ACK(确认)响应。一旦程序间建立了会话过程，就可以实现协同工作了。

　　同步攻击的方式是发送大量TCP SYN数据包。每个SYN数据包都会迫使目标服务器产生一个SYN-ACK响应，并等待合适的应答。这样很快就导致在SYN-ACK的背后都积压一堆其他注册的队列。当积压队列爆满，系统就将停止确认收到SYN请求。

　　如果同步攻击发送的同步数据包中包含了错误的网络源IP地址的话，攻击的效果就会更好。这种情况下，由于SYN-ACK发送出去后，ACK不再返回。通常情况下，迅速满溢的积压队列就会将合法程序发送的SYN请求结束。

　　内地攻击就是采用欺骗同步数据包模式攻击的新变种，它可以将网络地址伪装成为来自网络内部的情况。现在，同步攻击针对的似乎主要是防火墙，给管理者制造麻烦。

　　同样，大部分最新的操作系统和防火墙都可以防御同步攻击。这里有一种简单的方法，可以对防火墙进行设置，以防止所有包含已知错误源网络IP地址的传入数据包。该列表中包含了下列仅在内部使用的保留网络IP地址：10.0.0.0到10.255.255.255，127.0.0.0到127.255.255.255，172.16.0.0到172.31.255.255以及192.168.0.0到192.168.255.255。

　　但是，如果可以方便地直接摧毁系统，还为什么要担心偷偷摸摸躲在窗后的敌人呢？地址欺骗攻击以及利用用户数据报协议(UDP)过度使用的洪水攻击就属于这样的情况。

　　在地址欺骗攻击中，攻击者会向路由器发送过量的网际消息控制协议（ICMP）回送请求数据包，这是一种特殊的ping包。每个数据包的目的网络IP地址也是网络中的广播地址，这会导致路由器将ICMP数据包广播给网络中的所有主机。不用说，在一张大型网络中，这将迅速导致出现大量数据传输堵塞的情况。此外，类似内地攻击，如果黑客将两种模式结合到一起的话，事情就会变得更糟。

　　防范地址欺骗攻击的最简单方法就是关闭路由器或者交换机的地址广播功能，或者在防火墙中进行设置拒绝ICMP回送请求数据包。管理员还可以对服务器进行设置，这样的话，在遇到发送给广播网络IP地址的ICMP数据包时，就不会进行响应。由于很少有应用需要网络IP地址广播功能，所以这些调整不会对网络的正常运行带来影响。

　　对于采用UDP洪水模式的DDoS攻击来说，就不是那么容易处理了。原因很简单，类似域名系统（DNS）和简单网络管理协议（SNMP），很多应用都需要UDP协议的支持。在UDP洪水攻击中，攻击者通过欺骗手段连接到系统的UDP字符发生器服务上，在接受到数据包后，字符发生器将会针对另一台系统发送回送服务包。结果就是系统之间来自字符发生器的半随机字符泛滥，导致带宽迅速被充满，常规应用的使用受到了影响。

　　防范UDP攻击的一种方法是禁用或者过滤所有针对主机的UDP服务请求。只要容许被服务型的UDP请求，需要使用UDP或作为备份数据传输协议的普通应用，将可以继续正常工作。

　　暴力攻击

　　看起来，有这些多种方法都可以用来阻止DDoS攻击，因此，有人可能会认为这不会比垃圾邮件更难处理。但可惜的是，这种想法是完全错误的。在任何心存不满的人都可以纠集从数百到数万台计算机对网站进行DDoS 攻击的时间，防范工作将会是非常困难的。他们所要做的工作仅仅是从网络上对可能存在的信息进行了解，就可以迅速进行所需要的攻击。

　　类似Conficker的恶意软件将数以十万计的Windows系统变成了潜在攻击者可以使用的武器。由此导致的直接攻击浪潮不会被寥寥无几的防御措施所阻挡。防御者所能依靠的只有服务器，这也是为什么维基解密试图选择亚马逊网络服务或者大量增加网络托管主机的资源才能防止洪水攻击的原因。

　　实际上，在未来会看到更多这种类型的DDoS攻击。随着互联网范围的进一步扩大，越来越多的使用者通过宽带接入，为攻击者提供了更多未受保护的Windows系统来进行控制。更糟的是，在类似低轨道离子加农炮之类工具的帮助下，只要获得一些志同道合朋友的帮助，任何中型网站都可以被摧毁。

　　请不要忘记，使用这些工具的话，可能会被跟踪，并可能会面临刑事指控。最近，一名大学生就因为利用DDoS攻击工具攻击保守派的网站被判入狱30个月。

　　不过，即使这样的威胁笼罩在攻击者的头上，也没有看到丝毫停止的迹象。我们生活在一个不那么美好的网络时代。DDoS攻击，一定会变得越来越普遍。

　　自动分层存储（ATS）是去年被讨论最多的存储阵列话题之一。它指的是在不同磁盘类型和RAID级别之间迁移数据块的功能，这可满足性能和空间使用之间的适当平衡，并避免所谓的热点。

　　该领域的先驱者是Compellent（现已被戴尔收购）；它从2004年就开始提供这类功能，但现在所有分层领导厂商的产品都已具备了同样的功能。只是EMC、HDS、HP-3Par、IBM和NetApp为该功能赋予的名称不同，且都按照自己的方式来实现，因为他们各自的架构不同，而关于存储级别虚拟化层的理念也不同。因此，本文并不会直接告诉你哪一种ATS最好，而是全方位的考量用于评估不同ATS实现最重要的指标。

　　LUN或子LUN

　　早期的一些厂商曾尝试在I/O 请求下降至一定阀值时，利用“半自动”功能将LUN从快速磁盘（FC）迁移至低成本高容量磁盘（SATA）。这种方式非常简单，但由于涉及大数据迁移和粒度不足的问题，实际情况下几乎无法使用：其中的风险便是下移一个LUN之后，还需要为一个新I/O峰值再迁移回来…想一想当你在注重IOPS 的阵列中拥有一个TB级的LUN时，这将意味着什么！

　　而现在ATS的子LUN实现相比之前要先进一些：一个LUN被分成多个数据块，而每个数据块可以被放置到不同层级的磁盘中，有时甚至可由不同RAID级别来保护。

　　引擎和算法

　　每个厂商都依据时间/事件和/或访问频率，开发了自有的用于迁移层级间数据块的迁移引擎。每种实现方式都依赖于整体架构。但大体上可考虑以下两种方式：“阵列中的全部”或“阵列外的部分”。

　　当实现的方式为“阵列中全部”的时候，所有监控功能都是位于其控制器和软件内部，所有功能都独立于软件/操作系统。但是，当部分迁移进程是在阵列外部实现的时候（即O/S代理商监控IOPS或外部分析工具），数据迁移就会面临危险，因为该环境更加难以管理并由外部因素所决定。

　　粒度

　　粒度意味着效率，效率也意味着更加节省成本：可以发现数据块的大小不尽相同，512KB至1GB不等（一些厂商已经打算将数据块减少至32KB）。因此，粒度由于以下原因变得非常重要：

　　拥有更多的粒度，就可以在后端移动更少的数据；

　　小数据块可以向较高或者较低存储层移动，以更好地分布数据分布和快速/粒度更高地进行调整；

　　而大数据块往往具有以下风险：

　　在迁移大量数据之前，算法需要在等待的，同时面临迁移数据为时已晚的风险！

　　如果拥有少量的活动数据，比如一个大型LUN中几MB的数据，那么就可能有必须将GB级的数据移至更昂贵的上层存储的风险。