數(shù)據(jù)中心面臨著各種各樣的安全問題，網絡安全也是其中重要的一部分。網絡攻擊指針對數(shù)據(jù)中心網絡部分發(fā)起的攻擊，這樣的攻擊往往會造成數(shù)據(jù)中心應用訪問緩慢或者數(shù)據(jù)丟失等一系列問題。所以，數(shù)據(jù)中心都會對內部網絡進行全方面的防護，避免網絡部分受到攻擊，一個數(shù)據(jù)中心的網絡若是癱瘓了，整個數(shù)據(jù)中心也就停轉了。那么，針對網絡的攻擊有哪些形式和實現(xiàn)原理呢，本文將總體一下做個知識普及，以便對網絡攻擊有個初步認識。

網絡攻擊可以分為兩種情況：一種是從數(shù)據(jù)中心外部直接發(fā)動攻擊，這種攻擊公開，短平快，迅速達到摧毀數(shù)據(jù)中心網絡的目的；另一種是從數(shù)據(jù)中心內部越權操作，這種攻擊隱蔽，長期潛伏在數(shù)據(jù)中心網絡內部，潛移默化，由量變到質變，最終將數(shù)據(jù)中心網絡攻陷。兩種攻擊方式，一個表現(xiàn)張揚，另一個表現(xiàn)內斂，而目標都是網絡，只是操作手法上有所不同而已。從外部發(fā)起的攻擊，攻擊速度快，如果數(shù)據(jù)中心沒能抗住，很快就會被攻陷，而從內部發(fā)起的攻擊，速度緩慢，稍有不慎就會被殲滅，在這個過程中網絡有很多機會可以挫敗攻擊。不管是哪種攻擊，要么是消耗網絡資源，網絡數(shù)據(jù)無法傳遞，要么是利用IP協(xié)議的缺陷，產生網絡表項紊亂。

網絡資源

數(shù)據(jù)中心網絡資源包括帶寬、CPU、內存緩存、軟件資源等。通過攻擊侵占到這些資源，致使網絡運轉不正常。比如通過向數(shù)據(jù)中心網絡注入大量的垃圾流量，將帶寬占滿，正常業(yè)務的流量因缺少帶寬，出現(xiàn)擁塞丟包，業(yè)務出現(xiàn)異常。此外，可以向網絡注入大量的流量控制報文，造成帶寬擁塞的假象，降低網絡轉發(fā)速度，從而使業(yè)務流量轉發(fā)速率也隨之降下來；網絡攻擊有時還會針對網絡設備發(fā)起協(xié)議攻擊，引起設備的CPU升高，尤其是交換機設備，CPU防攻擊能力都比較弱，CPU主要承擔控制協(xié)議的處理，CPU過高就會影響到一些協(xié)議報文的正常處理，會造成協(xié)議超時震蕩，嚴重時可以造成設備無響應，掛起的故障。當數(shù)據(jù)中心網絡的重要節(jié)點被如此攻擊后，將可能導致整個網絡協(xié)議工作不正常，網絡處于不穩(wěn)定狀態(tài)；網絡攻擊有時還會對設備發(fā)起內存攻擊，通過大量的網絡連接消耗設備內存，導致設備內存迅速被耗盡，設備被異常重啟，導致網絡業(yè)務中斷。有的時候如果設備存在軟件BUG，在一些特定情況下出現(xiàn)內存泄露，這一點也有可能被攻擊者所利用，然后觸發(fā)設備的內存泄露，一點點將設備的內存消耗光，最終陷入異常；網絡還有很多協(xié)議軟件資源，比如TCP端口號或者TCP會話數(shù)，通過攻擊去消耗這些網絡資源，最終讓網絡系統(tǒng)走向崩潰，也是一種方法?？梢?，消耗網絡資源是網絡攻擊的一種非常重要的方式，惡意將網絡資源耗盡，從而觸發(fā)網絡異常，致使數(shù)據(jù)中心陷入癱瘓。

利用缺陷

以太網協(xié)議雖然已經經歷了四十幾年的發(fā)展，依然有一些協(xié)議漏洞，存在安全性問題，不少網絡攻擊都是利用這些已知缺陷，達到攻陷網絡的目的。這些缺陷包括網絡系統(tǒng)缺陷、軟件漏洞、協(xié)議工作機制等等。比如IP分片處理漏洞經常被利用作為攻擊源。IP首部有兩個字節(jié)表示整個IP數(shù)據(jù)包長度，所以IP數(shù)據(jù)包最長只能為0xFFFF，即65535字節(jié)。如果有意發(fā)送總長度超過65535的超大包，一些老系統(tǒng)內核在處理時候就會出現(xiàn)問題 ，導致崩潰或者拒絕服務。如果IP分片之間偏移量是經過精心構造，一些系統(tǒng)就無法處理，導致死機。比如ping o'death 、teardrop和jolt2等，原理都是利用發(fā)送異常IP分片，如果操作系統(tǒng)的內核在處理分片重組時沒有考慮到所有異常情況，將可能引向異常的流程；針對網絡協(xié)議發(fā)起的攻擊類型也比較多，七層網絡幾乎都有被攻擊的可能，就連使用最廣的ARP協(xié)議，都存在協(xié)議漏洞，ARP欺騙就是其中一種。這是因為在ARP緩存表中存在一個缺陷，就是當請求主機收到ARP應答包后，不會去驗證自己是否向對方主機發(fā)送過ARP請求包，就直接把這個返回包中的IP地址與MAC地址的對應關系保存進ARP緩存表中，如果原有相同IP對應關系，原有的則會被替換。ARP欺騙通過冒充網關或其他主機使得到達網關或主機的流量通過攻擊進行轉發(fā)。通過轉發(fā)流量可以對流量進行控制和查看，從而控制流量或得到機密信息。還有ICMP、TCP、DHCP等大量通用的網絡協(xié)議均存在缺陷，這緣于早期進行網絡協(xié)議設計的時候并未過多考慮安全性，而是將注意力都放在了互通性上，在后來的IPv6設計中已經將安全作為一項重要因素加以考慮，所以在IPv6協(xié)議上安全性得到很大提升。

無論是利用網絡資源，還是協(xié)議缺陷，最終都是希望對數(shù)據(jù)中心網絡造成破壞，這類網絡攻擊預期達到的效果基本都是希望對網絡造成破壞，將數(shù)據(jù)中心網絡搞癱。很少能從網絡攻擊中獲取機密數(shù)據(jù)，因為數(shù)據(jù)中心核心的數(shù)據(jù)基本都存在于存儲設備中，網絡傳遞過程中的海量數(shù)據(jù)，一一截取、破譯去獲得機密數(shù)據(jù)將是一個非常復雜和困難的過程，要從海量數(shù)據(jù)中找到有價值的數(shù)據(jù)也非常耗時。所以，網絡攻擊主要希望得到的是破壞性的效果，攻擊性強主要體現(xiàn)在破壞力上。近期，數(shù)據(jù)中心網絡安全問題逐漸引起了更多人關注，網絡協(xié)議標準早就頒布，已不可能做太多改變，數(shù)據(jù)中心就需要根據(jù)網絡攻擊的常用模型，有針對性地做防護，在關鍵位置增加安全防護設備，保護數(shù)據(jù)中心脆弱的網絡系統(tǒng)。