10月22日晚间,AWS遭遇持续长达八小时的DDoS攻击。该事件袭击了AWS Route 53 DNS网络服务,搞瘫了其他服务,引发用户对该攻击性质及AWS自有DDoS缓解服务“Shield Advanced”的种种质疑。

谷歌云平台(GCP)同时遭遇一系列问题。两起事件似乎并无关联。GCP在状态更新中提到“Google Compute Engine、Cloud Memorystore、Google Kubernetes Engine、Cloud Bigtable和Google Cloud Storage”等多个云产品同时宕机中断。谷歌发言人称:AWS的服务中断与任何类型的DDoS攻击行为无关。

AWS遭受的攻击让很多客户难以访问S3存储桶服务,还有很多依赖外部DNS查询的服务也无法访问,包括关系数据库服务(RDS)和弹性负载均衡(ELB)。美国东海岸遭受的攻击似乎特别严重。(AWS将攻击影响描述为仅涉及“少量特定DNS域名”)。

Reddit上的AWS用户声称Aurora(一款兼容MySQL和PostgreSQL的数据库)集群也无法访问,还有很多用户投诉称自己的客户长达数小时无法使用云服务。

AWS DDoS攻击

AWS状态更新写道:10:30 AM至6:30 PM PDT期间,我们的某些AWS DNS域名经历了间断性解析错误。从5:16 PM开始,少量特定DNS域名的错误率上升。这些问题现已解决。

发给客户的一封电子邮件中,故障原因被归结到分布式拒绝服务(DDoS)攻击上。正如Reddit、推特上广为流传的,这封电子邮件里提到:我们正在调查偶尔的DNS解析错误报告。AWS DNS服务器目前正遭受DDoS攻击。

我们的DDoS缓解正在吸收绝大部分攻击流量,但这些缓解措施同时也标记了一些合法的客户查询。我们正积极进行额外的缓解,同时跟踪攻击源头以停止该攻击。

亚马逊自己的Shield Advanced DDoS缓解产品承接了绝大部分攻击流量,但该缓解措施也将一些合法客户查询标记成了恶意,使客户无法连接服务。

鉴于AWS的体量和每时每刻处理的流量规模,该攻击应该颇为严重。目前尚不清楚会不会有更详细的分析出炉。批评家指出,AWS的Route 53服务水平协议(SLA)承诺100%在线。

AWS尚未就攻击相关报道做出进一步评论,也未回应媒体咨询问题。

客户可以通过更新S3访问客户端配置,指定自身存储桶所在具体区域,来解决该问题,缓解其影响:比如指定“mybucket.s3.us-west-2.amazonaws.com”而不是指定到“mybucket.s3.amazonaws.com”。

信息化和软件服务网 - 助力数字中国建设 | 责编:莎莉