針對HTTPFlood攻擊的防御措施有以下這些：

• URI監測：在指定的時間內，某一個URI的訪問量要是過高，Anti-DDoS就會針對這種情況啟動URI行為檢測，如果檢測出來的訪問數超過規定的閾值，超出的IP訪問數就會被判定加入動態黑名單。所以在配置URI監測時，可將消耗內存或計算資源多、容易受攻擊的URI加入“重點監測URI”列表。

• URI源指紋學習功能：適用于攻擊源訪問的URI比較固定。因為如果要形成攻擊效果，攻擊者一般都事先探測，找到容易消耗系統資源的URI作為攻擊目標，然后一個攻擊源的一個會話上會有多個針對該URI的請求，最終呈現為該源對選定的URI發送大量的請求報文。動態指紋學習正是基于這個原理，Anti-DDoS設備對源訪問的URI進行指紋學習，找到攻擊目標URI指紋，如果對該URI指紋的命中次數高于設置的閾值就將該源加入黑名單。

• HTTP Flood源認證：源認證防御方式是防御HTTP Flood最常用的手段，這種防御方式適用于客戶端為瀏覽器的HTTP服務器場景，因為瀏覽器支持完整的HTTP協議，可以正常回應重定向報文或者是驗證碼。源認證防御主要包含三種方式分別是基本模式（META刷新）、增強模式（驗證碼認證）、302重定向模式。

• HTTP源統計：HTTP源統計是在基于目的IP流量異常的基礎上，再啟動針對源IP流量進行統計。Anti-DDoS設備首先對到達目的IP的流量進行統計，當目的IP流量觸發告警閾值時，再啟動到達這個目的IP的每個源的流量進行統計，判定具體某個源流量異常，并對源IP的流量進行限速。HTTP源統計功能可以更準確的定位異常源，并對異常源發出的流量進行限速。

云計算其服務模式具備以下關鍵特征：

• 便捷的網絡訪問：用戶可通過網絡，采用標準機制訪問物理和虛擬資源。這里的標準機制有助于不同用戶通過異構平臺訪問資源。這一關鍵特性保證云計算用戶可以更方便地訪問物理和虛擬資源用戶可以從任何網絡覆蓋的地方，使用包括移動電話、平板電腦、筆記本電腦和工作站等各種客戶端設備對資源進行訪問。

• 按需自助服務：云服務用戶能根據需要自動配置計算能力，或通過與云服務提供者的最少交互配置計算能力。這一關鍵特性賦予了用戶無須額外人工交互就能夠根據自己的需求規劃并使用計算資源的能力，在降低用戶的時間成本和操作成本的同時，提高了使用效率。

• 多租戶：通過對各個組織間進行數據和操作隔離，在保證數據安全性、隔離性的基礎上，實現多租戶的服務模式。多租戶服務模式一方面支持在某些情況下，尤其在公有云和社區云部署模型下，由來自不同組織的用戶組成一組云服務用戶，實現以數據隔離為基礎的資源共享；另一方面也支持一個云服務用戶組織和一個云服務提供者之間建立多個不同的租賃關系，這些不同的租賃關系代表云服務用戶組織內的不同小組。多租戶服務模式為云服務提供商及租戶提供了極高的靈活性，極大促進了計算資源的分配及使用效率。

• 資源池化：云服務提供者通過將云服務物理或虛擬資源進行集成，形成具備規模效應的資源池，通過對資源池中的資源進行統一分配，靈活、高效地利用資源。這一關鍵特性保證云服務提供者既能支持多租戶，又通過抽象對用戶屏蔽了復雜的處理流程。對用戶來說，他們僅需要關心服務是否正常工作，而無須關心資源是如何提供或分布的。

• 彈性靈活：云計算提供者將物理或虛擬資源以快速、彈性，甚至自動化的模式提供給租戶，以達到快速增減資源的目的，提升資源利用率，避免租戶不必要的資源消費。對云服務用戶來說，可按需購買物理或虛擬資源，購買量僅受服務協議的限制。這一關鍵特性保證云計算租戶無須再為資源量和容量規劃擔心，而是可以根據自身業務需求，快速、靈活、自動地獲取所需要的資源。

• 服務可計量：通過可計量的服務交付，云計算用戶所使用的資源數量能夠動態、自動地監控、控制、匯報和計費。這一關鍵特性保證用戶只需對使用的資源付費。從用戶的角度看，云計算通過從本質上改變用戶的IT資產采購與管理模式，幫助用戶極大地提升IT資產利用效率。

Kerberos認證協議具有以下缺點：

• 依賴于域內時鐘同步：Kerberos認證中使用的時間戳機制依賴于域內時鐘同步，如果時間不同步則存在較大的安全風險。例如，如果主機時間不同步，原來的許可證可能會被替換；如果應用服務器的時間提前或落后于客戶和AS的時間，則應用服務器可能會把有效的許可證看成是一個重放攻擊而拒絕它。實踐中，使用的時鐘同步協議（NTP）也存在不少安全隱患。

• Kerberos無法應付口令猜測攻擊：AS在傳輸用戶與TGS間的會話密鑰時是以用戶密鑰加密的，而用戶密鑰是由用戶口令生成的，因此可能會受到口令猜測攻擊。在Kerberos V5中，新增了一種稱為“預認證機制”使得口令攻擊更困難，但無法杜絕。

• 容易形成瓶頸：Kerberos中AS和TGS采用集中式管理，容易形成瓶頸，系統的性能和安全性也過分依賴于這兩個服務的性能和安全。

• 管理協議并沒有標準化：在服務器實現工具中有一些差別。

• 危及服務器的安全的行為將危及所有用戶的密鑰：所有用戶使用的密鑰都存儲于中心服務器中，危及服務器的安全的行為將危及所有用戶的密鑰。

• 交換密鑰時的安全性不能保障：Kerberos身份認證采用的是對稱加密機制，加解密都需要相同的密鑰，交換密鑰時的安全性不能保障。如果一個入侵者通過某種方法竊取了用戶的私鑰，他就能冒充用戶的身份。