亞馬遜宣布AWS Shield阻止分布式拒絕服務攻擊

在最近的 2016 年 re:Invent 大會上，亞馬遜宣布了一項叫做 AWS Shield 的新服務，為客戶提供針對分布式拒絕服務（DDoS）攻擊的防護。

該聲明就在亞馬遜受 DDos 攻擊影響的一個月后，這次攻擊攻擊了亞馬遜使用的一個叫 Dynamic Network Services（Dyn）的 DNS 提供商。這一攻擊影響了亞馬遜位于北弗吉利亞和愛爾蘭的數據中心的一些服務。為了限制對客戶的影響，亞馬遜通過其他 DNS 提供商重新路由流量。

DDoS 攻擊越來越頻繁。在 Akamai 發布的第一季度互聯網安全狀態報告中，Akamai 引用到：

分布式拒絕服務（DDoS）攻擊同比增長了 125%。

Jeff Barr 是 AWS 的首席福音傳道者。他在最近的一篇博文中描述了影響組織的三種常見 DDoS 攻擊。它們包括：

• 應用層攻擊由結構良好但惡意的請求（HTTP GET 請求和 DNS 查詢比較流行）構成。這些請求能消耗應用資源。例如，打開多個 HTTP 連接，然后花數秒甚至幾分鐘讀取響應，會消耗過多的內存，組織合法請求被服務。
• 狀態表耗盡攻擊濫用有狀態協議，通過消耗每個連接的大量資源給防火墻和負載均衡器造成壓力。
• 容量耗盡攻擊通過超過網絡能處理的流量沖擊或者通過發起偽造請求擾亂網絡。大量偽造請求會讓毫無戒備的受害者收到大量底層響應（也叫反射攻擊）。

在 re:Invent 的主旨演講中，亞馬遜 CTO Werner Vogels 將這些攻擊的分布分解為：

• 64% 的 DDoS 攻擊是容量耗盡攻擊
• 18% 是應用層攻擊
• 18% 是狀態表耗盡攻擊

圖片來源：（截屏）https://youtu.be/ZDScBNahsL4?t=52m

為了保護客戶不受這些類型的 DDoS 攻擊，亞馬遜發布的 AWS Shield 是一個分為兩層的托管服務：

• 標準 AWS Shield，所有客戶都可使用，無額外付費。亞馬遜聲稱標準 AWS Shield 能“現在能阻止 96% 的最常見攻擊，包括 SYN/ACK floods、反射攻擊和慢 HTTP 讀”。這個防護會自動、透明地應用到彈性負載均衡器、CloudFront 分布和 Route 53 資源。
• 高級 AWS Shield 是在標準 AWS Shield 基礎上提供額外防護的收費服務。這些額外防護包括針對網絡層（第 3 層）、傳輸層（第 4 層）和應用層（第 7 層）的智能 DDoS 攻擊偵測。另外，客戶在遭受 DDoS 攻擊時可以求助 7 天 24 小時的 DDoS 響應團隊以及額外的實時指標和報表。高級 AWS Shield 也為彈性負載均衡資源、CloudFront 和亞馬遜 Route 53 承載區提供了成本保護。

圖片來源：（截屏）https://youtu.be/ZDScBNahsL4?t=52m

亞馬遜也給客戶提供了一些指導，告訴他們哪一級的服務適合他們。對于具有安全特長的客戶，如果愿意部署額外的 Web 應用程序防火墻（WAF）作為深度防護策略的一部分，選擇標準 AWS Shield 可能比較合適。標準 AWS Shield 也可能適合已有監控和通知平臺的客戶。

對于行業內經常受 DDoS 攻擊的客戶，如媒體與娛樂行業，又希望有一個托管服務作額外的防護，高級 AWS Shield 是一個更好的選擇。作為這項高級服務的一部分，WAF 不需要額外付費。高級客戶也會收到廣泛的報表、通知和針對第 3 層、第 4 層和第 7 層 DDoS 攻擊的攻擊后分析以及避免與 DDoS 攻擊相關的意外消費費用。

來自: InfoQ