BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

亚马逊宣布AWS Shield阻止分布式拒绝服务攻击

| 作者 Kent Weare 关注 11 他的粉丝 ,译者 王纯超 关注 0 他的粉丝 发布于 2016年12月12日. 估计阅读时间: 4 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

在最近的2016年re:Invent大会上,亚马逊宣布了一项叫做AWS Shield的新服务,为客户提供针对分布式拒绝服务(DDoS)攻击的防护。

该声明就在亚马逊受DDos攻击影响的一个月后,这次攻击攻击了亚马逊使用的一个叫Dynamic Network Services(Dyn)的DNS提供商。这一攻击影响了亚马逊位于北弗吉利亚和爱尔兰的数据中心的一些服务。为了限制对客户的影响,亚马逊通过其他DNS提供商重新路由流量。

DDoS攻击越来越频繁。在Akamai发布的第一季度互联网安全状态报告中,Akamai引用到:

分布式拒绝服务(DDoS)攻击同比增长了125%。

Jeff Barr是AWS的首席福音传道者。他在最近的一篇博文中描述了影响组织的三种常见DDoS攻击。它们包括:

  • 应用层攻击由结构良好但恶意的请求(HTTP GET请求和DNS查询比较流行)构成。这些请求能消耗应用资源。例如,打开多个HTTP连接,然后花数秒甚至几分钟读取响应,会消耗过多的内存,组织合法请求被服务。
  • 状态表耗尽攻击滥用有状态协议,通过消耗每个连接的大量资源给防火墙和负载均衡器造成压力。
  • 容量耗尽攻击通过超过网络能处理的流量冲击或者通过发起伪造请求扰乱网络。大量伪造请求会让毫无戒备的受害者收到大量底层响应(也叫反射攻击)。

re:Invent的主旨演讲中,亚马逊CTO Werner Vogels将这些攻击的分布分解为:

  • 64%的DDoS攻击是容量耗尽攻击
  • 18%是应用层攻击
  • 18%是状态表耗尽攻击

图片来源:(截屏)https://youtu.be/ZDScBNahsL4?t=52m

为了保护客户不受这些类型的DDoS攻击,亚马逊发布的AWS Shield是一个分为两层的托管服务:

  • 标准AWS Shield,所有客户都可使用,无额外付费。亚马逊声称标准AWS Shield能“现在能阻止96%的最常见攻击,包括SYN/ACK floods、反射攻击和慢HTTP读”。这个防护会自动、透明地应用到弹性负载均衡器、CloudFront分布和Route 53资源。
  • 高级AWS Shield是在标准AWS Shield基础上提供额外防护的收费服务。这些额外防护包括针对网络层(第3层)、传输层(第4层)和应用层(第7层)的智能DDoS攻击侦测。另外,客户在遭受DDoS攻击时可以求助7天24小时的DDoS响应团队以及额外的实时指标和报表。高级AWS Shield也为弹性负载均衡资源、CloudFront和亚马逊Route 53承载区提供了成本保护。

图片来源:(截屏)https://youtu.be/ZDScBNahsL4?t=52m

亚马逊也给客户提供了一些指导,告诉他们哪一级的服务适合他们。对于具有安全特长的客户,如果愿意部署额外的Web应用程序防火墙(WAF)作为深度防护策略的一部分,选择标准AWS Shield可能比较合适。标准AWS Shield也可能适合已有监控和通知平台的客户。

对于行业内经常受DDoS攻击的客户,如媒体与娱乐行业,又希望有一个托管服务作额外的防护,高级AWS Shield是一个更好的选择。作为这项高级服务的一部分,WAF不需要额外付费。高级客户也会收到广泛的报表、通知和针对第3层、第4层和第7层DDoS攻击的攻击后分析以及避免与DDoS攻击相关的意外消费费用。

查看英文原文:Amazon Announces AWS Shield for DDoS Protection


感谢冬雨对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT