數據中心面(miàn)臨著(zhe)各種(zhǒng)各樣(yàng)的安全問題，網絡安全也是其中重要的一部分。網絡攻擊指針對(duì)數據中心網絡部分發(fā)起(qǐ)的攻擊，這(zhè)樣(yàng)的攻擊往往會(huì)造成(chéng)數據中心應用訪問緩慢或者數據丢失等一系列問題。所以，數據中心都(dōu)會(huì)對(duì)内部網絡進(jìn)行全方面(miàn)的防護，避免網絡部分受到攻擊，一個數據中心的網絡若是癱瘓了，整個數據中心也就(jiù)停轉了。那麼(me)，針對(duì)網絡的攻擊有哪些形式和實現原理呢，本文將(jiāng)總體一下做個知識普及，以便對(duì)網絡攻擊有個初步認識。

網絡攻擊可以分爲兩(liǎng)種(zhǒng)情況：一種(zhǒng)是從數據中心外部直接發(fā)動攻擊，這(zhè)種(zhǒng)攻擊公開(kāi)，短平快，迅速達到摧毀數據中心網絡的目的；另一種(zhǒng)是從數據中心内部越權操作，這(zhè)種(zhǒng)攻擊隐蔽，長(cháng)期潛伏在數據中心網絡内部，潛移默化，由量變到質變，最終將(jiāng)數據中心網絡攻陷。兩(liǎng)種(zhǒng)攻擊方式，一個表現張揚，另一個表現内斂，而目标都(dōu)是網絡，隻是操作手法上有所不同而已。從外部發(fā)起(qǐ)的攻擊，攻擊速度快，如果數據中心沒(méi)能(néng)抗住，很快就(jiù)會(huì)被(bèi)攻陷，而從内部發(fā)起(qǐ)的攻擊，速度緩慢，稍有不慎就(jiù)會(huì)被(bèi)殲滅，在這(zhè)個過(guò)程中網絡有很多機會(huì)可以挫敗攻擊。不管是哪種(zhǒng)攻擊，要麼(me)是消耗網絡資源，網絡數據無法傳遞，要麼(me)是利用IP協議的缺陷，産生網絡表項紊亂。

網絡資源

數據中心網絡資源包括帶寬、CPU、内存緩存、軟件資源等。通過(guò)攻擊侵占到這(zhè)些資源，緻使網絡運轉不正常。比如通過(guò)向(xiàng)數據中心網絡注入大量的垃圾流量，將(jiāng)帶寬占滿，正常業務的流量因缺少帶寬，出現擁塞丢包，業務出現異常。此外，可以向(xiàng)網絡注入大量的流量控制報文，造成(chéng)帶寬擁塞的假象，降低網絡轉發(fā)速度，從而使業務流量轉發(fā)速率也随之降下來；網絡攻擊有時(shí)還(hái)會(huì)針對(duì)網絡設備發(fā)起(qǐ)協議攻擊，引起(qǐ)設備的CPU升高，尤其是交換機設備，CPU防攻擊能(néng)力都(dōu)比較弱，CPU主要承擔控制協議的處理，CPU過(guò)高就(jiù)會(huì)影響到一些協議報文的正常處理，會(huì)造成(chéng)協議超時(shí)震蕩，嚴重時(shí)可以造成(chéng)設備無響應，挂起(qǐ)的故障。當數據中心網絡的重要節點被(bèi)如此攻擊後(hòu)，將(jiāng)可能(néng)導緻整個網絡協議工作不正常，網絡處于不穩定狀态；網絡攻擊有時(shí)還(hái)會(huì)對(duì)設備發(fā)起(qǐ)内存攻擊，通過(guò)大量的網絡連接消耗設備内存，導緻設備内存迅速被(bèi)耗盡，設備被(bèi)異常重啓，導緻網絡業務中斷。有的時(shí)候如果設備存在軟件BUG，在一些特定情況下出現内存洩露，這(zhè)一點也有可能(néng)被(bèi)攻擊者所利用，然後(hòu)觸發(fā)設備的内存洩露，一點點將(jiāng)設備的内存消耗光，最終陷入異常；網絡還(hái)有很多協議軟件資源，比如TCP端口号或者TCP會(huì)話數，通過(guò)攻擊去消耗這(zhè)些網絡資源，最終讓網絡系統走向(xiàng)崩潰，也是一種(zhǒng)方法。可見，消耗網絡資源是網絡攻擊的一種(zhǒng)非常重要的方式，惡意將(jiāng)網絡資源耗盡，從而觸發(fā)網絡異常，緻使數據中心陷入癱瘓。

利用缺陷

以太網協議雖然已經(jīng)經(jīng)曆了四十幾年的發(fā)展，依然有一些協議漏洞，存在安全性問題，不少網絡攻擊都(dōu)是利用這(zhè)些已知缺陷，達到攻陷網絡的目的。這(zhè)些缺陷包括網絡系統缺陷、軟件漏洞、協議工作機制等等。比如IP分片處理漏洞經(jīng)常被(bèi)利用作爲攻擊源。IP首部有兩(liǎng)個字節表示整個IP數據包長(cháng)度，所以IP數據包最長(cháng)隻能(néng)爲0xFFFF，即65535字節。如果有意發(fā)送總長(cháng)度超過(guò)65535的超大包，一些老系統内核在處理時(shí)候就(jiù)會(huì)出現問題 ，導緻崩潰或者拒絕服務。如果IP分片之間偏移量是經(jīng)過(guò)精心構造，一些系統就(jiù)無法處理，導緻死機。比如ping o'death 、teardrop和jolt2等，原理都(dōu)是利用發(fā)送異常IP分片，如果操作系統的内核在處理分片重組時(shí)沒(méi)有考慮到所有異常情況，將(jiāng)可能(néng)引向(xiàng)異常的流程；針對(duì)網絡協議發(fā)起(qǐ)的攻擊類型也比較多，七層網絡幾乎都(dōu)有被(bèi)攻擊的可能(néng)，就(jiù)連使用最廣的ARP協議，都(dōu)存在協議漏洞，ARP欺騙就(jiù)是其中一種(zhǒng)。這(zhè)是因爲在ARP緩存表中存在一個缺陷，就(jiù)是當請求主機收到ARP應答包後(hòu)，不會(huì)去驗證自己是否向(xiàng)對(duì)方主機發(fā)送過(guò)ARP請求包，就(jiù)直接把這(zhè)個返回包中的IP地址與MAC地址的對(duì)應關系保存進(jìn)ARP緩存表中，如果原有相同IP對(duì)應關系，原有的則會(huì)被(bèi)替換。ARP欺騙通過(guò)冒充網關或其他主機使得到達網關或主機的流量通過(guò)攻擊進(jìn)行轉發(fā)。通過(guò)轉發(fā)流量可以對(duì)流量進(jìn)行控制和查看，從而控制流量或得到機密信息。還(hái)有ICMP、TCP、DHCP等大量通用的網絡協議均存在缺陷，這(zhè)緣于早期進(jìn)行網絡協議設計的時(shí)候并未過(guò)多考慮安全性，而是將(jiāng)注意力都(dōu)放在了互通性上，在後(hòu)來的IPv6設計中已經(jīng)將(jiāng)安全作爲一項重要因素加以考慮，所以在IPv6協議上安全性得到很大提升。

無論是利用網絡資源，還(hái)是協議缺陷，最終都(dōu)是希望對(duì)數據中心網絡造成(chéng)破壞，這(zhè)類網絡攻擊預期達到的效果基本都(dōu)是希望對(duì)網絡造成(chéng)破壞，將(jiāng)數據中心網絡搞癱。很少能(néng)從網絡攻擊中獲取機密數據，因爲數據中心核心的數據基本都(dōu)存在于存儲設備中，網絡傳遞過(guò)程中的海量數據，一一截取、破譯去獲得機密數據將(jiāng)是一個非常複雜和困難的過(guò)程，要從海量數據中找到有價值的數據也非常耗時(shí)。所以，網絡攻擊主要希望得到的是破壞性的效果，攻擊性強主要體現在破壞力上。近期，數據中心網絡安全問題逐漸引起(qǐ)了更多人關注，網絡協議标準早就(jiù)頒布，已不可能(néng)做太多改變，數據中心就(jiù)需要根據網絡攻擊的常用模型，有針對(duì)性地做防護，在關鍵位置增加安全防護設備，保護數據中心脆弱的網絡系統。