AWS瘫痪!!! DNS服务器安全再次敲响警钟-阿里云开发者社区

开发者社区> 安全> 正文

AWS瘫痪!!! DNS服务器安全再次敲响警钟

简介: 北京时间2019年10月23日凌晨,著名的云服务公司AWS遭遇了DDoS攻击,该攻击持续了15个小时,造成AWS部分服务瘫痪。 事件回顾: 23日美国当地时间9点左右,AWS遭受了大规模的DDoS攻击。

北京时间2019年10月23日凌晨,著名的云服务公司AWS遭遇了DDoS攻击,该攻击持续了15个小时,造成AWS部分服务瘫痪。

aws

事件回顾:

23日美国当地时间9点左右,AWS遭受了大规模的DDoS攻击。攻击时间正好是工作日的上班时间,并且攻击持续了15个小时,影响了很多AWS用户的服务,造成了相当恶劣的社会影响。持续而猛烈的DDoS攻击,使得包括AWS关系数据库服务(RDS)、简单队列服务(SQS)、CloudFront、弹性计算云(EC2)和弹性负载均衡(ELB)等服务都造成了影响。无数依赖AWS上这些服务的网站和应用软件受到影响。
在一个aws的页面上显示如下信息,表明AWS正在努力解决该问题。

间歇性DNS解析错误
我们正在调查关于Route 53和外部DNS提供商偶尔发生DNS解析错误的报告。我们正在积极努力的解决问题。

同时,美国时间23日早上,部分用户还从支持的代理商收到了如下说明,再次验证了AWS受到的这次攻击事件的真实性。

我们正在调查间歇性的DNS解析错误的报告。AWS DNS服务器当前受到了DDoS攻击
我们的DDoS缓解措施在化解绝大部分的攻击流量,但是这些缓解措施目前也将一些合法的客户查询标记为攻击流量。
我们正在追查攻击的源头以消灭攻击,还积极采取另外的缓解措施。受此事件影响的亚马逊S3客户可以更新访问S3的客户软件的配置,以指定请求缓解影响时其存储桶所在的特定区域。
例如,客户为其在US-WEST-2区域的存储桶指定“mybucket.s3.us-west-2.amazonaws.com”而不是,指定“mybucket.s3.amazonaws.com”。
如果你使用AWS开发工具包,作为亚马逊S3客户软件配置的一部分,你可以指定区域,确保你的请求使用该区域特有的端点名称。DNS解析问题还间歇性地影响需要公共DNS解析的其他AWS服务端点,比如ELB、RDS和EC2。

AWS在23日连发两篇推文来安抚用户,也进一步证实了该攻击事件的真实性。第一篇推文说明正在积极调查,采取行动。

38ad875e8169cdcbdcbe0bb61ac6546a8ed58c6c

第二篇推文则说明了问题已经得到解决。

be5e86ed2bafb65f978807c9ca7cf74f1656a2db

事件警示

这已经不是AWS的DNS服务器第一次遭受DDoS攻击,就在去年AWS还曾经遭受过长达8个小时的DDoS攻击。
_

小编看得一身冷汗,攻击频发,我们怎么样才能保障自己的服务器安全呢?在此我们建议:
1、 对DNS解析服务进行加固
目前各大厂家普遍都会提供免费的DNS解析服务,但是免费的DNS解析服务功能毕竟受限。如果遇到大流量的DDoS攻击,造成的损失可是无法挽回的。在此我们建议使用阿里云的付费版云解析DNS服务。阿里云解析DNS根据用户的规模大小,提供了不同的版本选择。对于DNS安全,我们提供基础版防御和高级版防御。
 基础版:对套餐内绑定的所有域名,提供基础的DNS攻击保护能力, DNS攻击防御上限不超过每秒1000万次
 全力防御版:
针对版本绑定的所有域名,提供全面的DNS攻击保护能力,能承受每秒过亿次的DNS攻击
DNS_

2、 对DNS服务器进行灾备管理。
比如使用我们的辅助DNS服务,对权威DNS服务进行容灾。 当其中一个权威 DNS 故障时,其他权威 DNS 可继续提供域名解析服务。关于辅助DNS的介绍,可参考文章《DNS稳定保障系列1--服务双保障“辅助DNS”产品介绍》
DDoS攻击来势汹汹,总是在不经意间发生,大家一定要树立起攻击防范意识,不要等到被攻击打垮了才后悔莫及。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章