在最近的2016年re:Invent大会上,亚马逊宣布了一项叫做AWS Shield的新服务,为客户提供针对分布式拒绝服务(DDoS)攻击的防护。
该声明就在亚马逊受DDos攻击影响的一个月后,这次攻击攻击了亚马逊使用的一个叫Dynamic Network Services(Dyn)的DNS提供商。这一攻击影响了亚马逊位于北弗吉利亚和爱尔兰的数据中心的一些服务。为了限制对客户的影响,亚马逊通过其他DNS提供商重新路由流量。
DDoS攻击越来越频繁。在Akamai发布的第一季度互联网安全状态报告中,Akamai引用到:分布式拒绝服务(DDoS)攻击同比增长了125%。
Jeff Barr是AWS的首席福音传道者。他在最近的一篇博文中描述了影响组织的三种常见DDoS攻击。它们包括:
- 应用层攻击由结构良好但恶意的请求(HTTP GET请求和DNS查询比较流行)构成。这些请求能消耗应用资源。例如,打开多个HTTP连接,然后花数秒甚至几分钟读取响应,会消耗过多的内存,组织合法请求被服务。
- 状态表耗尽攻击滥用有状态协议,通过消耗每个连接的大量资源给防火墙和负载均衡器造成压力。
- 容量耗尽攻击通过超过网络能处理的流量冲击或者通过发起伪造请求扰乱网络。大量伪造请求会让毫无戒备的受害者收到大量底层响应(也叫反射攻击)。
在re:Invent的主旨演讲中,亚马逊CTO Werner Vogels将这些攻击的分布分解为:
- 64%的DDoS攻击是容量耗尽攻击
- 18%是应用层攻击
- 18%是状态表耗尽攻击
为了保护客户不受这些类型的DDoS攻击,亚马逊发布的AWS Shield是一个分为两层的托管服务:
- 标准AWS Shield,所有客户都可使用,无额外付费。亚马逊声称标准AWS Shield能“现在能阻止96%的最常见攻击,包括SYN/ACK floods、反射攻击和慢HTTP读”。这个防护会自动、透明地应用到弹性负载均衡器、CloudFront分布和Route 53资源。
- 高级AWS Shield是在标准AWS Shield基础上提供额外防护的收费服务。这些额外防护包括针对网络层(第3层)、传输层(第4层)和应用层(第7层)的智能DDoS攻击侦测。另外,客户在遭受DDoS攻击时可以求助7天24小时的DDoS响应团队以及额外的实时指标和报表。高级AWS Shield也为弹性负载均衡资源、CloudFront和亚马逊Route 53承载区提供了成本保护。
亚马逊也给客户提供了一些指导,告诉他们哪一级的服务适合他们。对于具有安全特长的客户,如果愿意部署额外的Web应用程序防火墙(WAF)作为深度防护策略的一部分,选择标准AWS Shield可能比较合适。标准AWS Shield也可能适合已有监控和通知平台的客户。
对于行业内经常受DDoS攻击的客户,如媒体与娱乐行业,又希望有一个托管服务作额外的防护,高级AWS Shield是一个更好的选择。作为这项高级服务的一部分,WAF不需要额外付费。高级客户也会收到广泛的报表、通知和针对第3层、第4层和第7层DDoS攻击的攻击后分析以及避免与DDoS攻击相关的意外消费费用。