北京时间2019年10月23日凌晨,著名的云服务公司AWS遭遇了DDoS攻击,该攻击持续了15个小时,造成AWS部分服务瘫痪。
事件回顾:
23日美国当地时间9点左右,AWS遭受了大规模的DDoS攻击。攻击时间正好是工作日的上班时间,并且攻击持续了15个小时,影响了很多AWS用户的服务,造成了相当恶劣的社会影响。持续而猛烈的DDoS攻击,使得包括AWS关系数据库服务(RDS)、简单队列服务(SQS)、CloudFront、弹性计算云(EC2)和弹性负载均衡(ELB)等服务都造成了影响。无数依赖AWS上这些服务的网站和应用软件受到影响。
在一个aws的页面上显示如下信息,表明AWS正在努力解决该问题。
| 间歇性DNS解析错误 |
|---|
| 我们正在调查关于Route 53和外部DNS提供商偶尔发生DNS解析错误的报告。我们正在积极努力的解决问题。 |
同时,美国时间23日早上,部分用户还从支持的代理商收到了如下说明,再次验证了AWS受到的这次攻击事件的真实性。
| 我们正在调查间歇性的DNS解析错误的报告。AWS DNS服务器当前受到了DDoS攻击 |
|---|
| 我们的DDoS缓解措施在化解绝大部分的攻击流量,但是这些缓解措施目前也将一些合法的客户查询标记为攻击流量。 |
| 我们正在追查攻击的源头以消灭攻击,还积极采取另外的缓解措施。受此事件影响的亚马逊S3客户可以更新访问S3的客户软件的配置,以指定请求缓解影响时其存储桶所在的特定区域。 |
| 例如,客户为其在US-WEST-2区域的存储桶指定“mybucket.s3.us-west-2.amazonaws.com”而不是,指定“mybucket.s3.amazonaws.com”。 |
|---|
| 如果你使用AWS开发工具包,作为亚马逊S3客户软件配置的一部分,你可以指定区域,确保你的请求使用该区域特有的端点名称。DNS解析问题还间歇性地影响需要公共DNS解析的其他AWS服务端点,比如ELB、RDS和EC2。 |
AWS在23日连发两篇推文来安抚用户,也进一步证实了该攻击事件的真实性。第一篇推文说明正在积极调查,采取行动。
第二篇推文则说明了问题已经得到解决。
事件警示
这已经不是AWS的DNS服务器第一次遭受DDoS攻击,就在去年AWS还曾经遭受过长达8个小时的DDoS攻击。
小编看得一身冷汗,攻击频发,我们怎么样才能保障自己的服务器安全呢?在此我们建议:
1、 对DNS解析服务进行加固
目前各大厂家普遍都会提供免费的DNS解析服务,但是免费的DNS解析服务功能毕竟受限。如果遇到大流量的DDoS攻击,造成的损失可是无法挽回的。在此我们建议使用阿里云的付费版云解析DNS服务。阿里云解析DNS根据用户的规模大小,提供了不同的版本选择。对于DNS安全,我们提供基础版防御和高级版防御。
基础版:对套餐内绑定的所有域名,提供基础的DNS攻击保护能力, DNS攻击防御上限不超过每秒1000万次。
全力防御版:
针对版本绑定的所有域名,提供全面的DNS攻击保护能力,能承受每秒过亿次的DNS攻击
2、 对DNS服务器进行灾备管理。
比如使用我们的辅助DNS服务,对权威DNS服务进行容灾。 当其中一个权威 DNS 故障时,其他权威 DNS 可继续提供域名解析服务。关于辅助DNS的介绍,可参考文章《DNS稳定保障系列1--服务双保障“辅助DNS”产品介绍》
DDoS攻击来势汹汹,总是在不经意间发生,大家一定要树立起攻击防范意识,不要等到被攻击打垮了才后悔莫及。
