近日，托管安全供应商Integralis公司事件响应处理人员兼渗透测试人员Allison Nixon找到了一种方法，可利用公有云配置中的漏洞，轻松地绕过一些提供DDoS保护的基于云的服务(如阿里云)。

　　Nixon表示，这种基于云(如阿里云)的DDoS保护规避可用来针对需要基于DNS的DDoS缓解来重新路由和清除无用数据包的服务。在黑帽大会上，Nixon提供了这个配置漏洞的详细信息，并发布了一个工具来自动化利用这个有缺陷的设置的过程。 Nixon的工具可在几分钟内暴露一个受保护的网站，不过，在支持边界网关协议(BGP)路由或安装了反DDoS物理设备的企业，这种方法将不可行。

　　攻击者正越来越多地使用拒绝服务攻击来针对金融行业及其他行业，这使得很多企业开始考虑在数据中心安装设备来降低系统受到干扰的风险，或利用基于云服务来防御DDoS。DDoS攻击已经成为一个日益严重的问题，因为自动化工具已经有所提高，僵尸网络也很容易建立。

　　绕过基于云的DDoS保护很简单，不需任何工具，而Nixon创造的工具自动化了这个过程。该工具定位DDoS保护的网站，并暴露它们，让它们容易受到DDoS攻击。这种技术最初开发是为了暴露犯罪网站，该技术主要依赖于揭露目标网站的源IP地址。

　　这种攻击试图出站连接到网站来暴露其公共IP地址，从而暴露网站。与较少功能的网站相比，拥有更多功能的网站更容易被暴露。一些攻击者发送假的DMCA请求到服务供应商(非法行为)来试图通过供应商暴露客户网站的源IP。

　　Nixon建议企业找出其企业的DDoS保护是如何应用的，从而确定自己是不是容易受到这种攻击。