10 月 22 日晚间,AWS 遭遇持续长达八小时的 DDoS 攻击。该事件袭击了 AWS Route 53 DNS 网络服务,搞瘫了其他服务,引发用户对该攻击性质及 AWS 自有 DDoS 缓解服务 “Shield Advanced” 的种种质疑。
谷歌云平台 (GCP) 同时遭遇一系列问题。两起事件似乎并无关联。GCP 在状态更新中提到 “Google Compute Engine、Cloud Memorystore、Google Kubernetes Engine、Cloud Bigtable 和 Google Cloud Storage” 等多个云产品同时宕机中断。谷歌发言人称:AWS 的服务中断与任何类型的 DDoS 攻击行为无关。
AWS 遭受的攻击让很多客户难以访问 S3 存储桶服务,还有很多依赖外部 DNS 查询的服务也无法访问,包括关系数据库服务 (RDS) 和弹性负载均衡 (ELB)。美国东海岸遭受的攻击似乎特别严重。(AWS 将攻击影响描述为仅涉及 “少量特定 DNS 域名”)。
Reddit 上的 AWS 用户声称 Aurora(一款兼容 MySQL 和 PostgreSQL 的数据库)集群也无法访问,还有很多用户投诉称自己的客户长达数小时无法使用云服务。
AWS DDoS 攻击
AWS 状态更新写道:10:30 AM 至 6:30 PM PDT 期间,我们的某些 AWS DNS 域名经历了间断性解析错误。从 5:16 PM 开始,少量特定 DNS 域名的错误率上升。这些问题现已解决。
发给客户的一封电子邮件中,故障原因被归结到分布式拒绝服务 (DDoS) 攻击上。正如 Reddit、推特上广为流传的,这封电子邮件里提到:我们正在调查偶尔的 DNS 解析错误报告。AWS DNS 服务器目前正遭受 DDoS 攻击。
我们的 DDoS 缓解正在吸收绝大部分攻击流量,但这些缓解措施同时也标记了一些合法的客户查询。我们正积极进行额外的缓解,同时跟踪攻击源头以停止该攻击。
亚马逊自己的 Shield Advanced DDoS 缓解产品承接了绝大部分攻击流量,但该缓解措施也将一些合法客户查询标记成了恶意,使客户无法连接服务。
鉴于 AWS 的体量和每时每刻处理的流量规模,该攻击应该颇为严重。目前尚不清楚会不会有更详细的分析出炉。批评家指出,AWS 的 Route 53 服务水平协议 (SLA) 承诺 100% 在线。
AWS 尚未就攻击相关报道做出进一步评论,也未回应媒体咨询问题。
客户可以通过更新 S3 访问客户端配置,指定自身存储桶所在具体区域,来解决该问题,缓解其影响:比如指定 “mybucket.s3.us-west-2.amazonaws.com”而不是指定到“mybucket.s3.amazonaws.com”。