全球最大云服务商AWS 遭受DDoS攻击,DNS安全面临巨大挑战

事件描述

亚马逊AWS DNS服务瘫痪

2019年10月23日,亚马逊AWS DNS服务(Route 53)受到了分布式拒绝服务(DDoS)攻击,恶意攻击者向系统发送大量垃圾流量,致使服务长时间受到影响。

事件影响

持续时间:北京时间10月23日 01:30分至10月23日 09:30分(AWS官方宣称)

从AWS故障报告统计图可以看到,报障时间同上述故障时段基本吻合。

而该时间段内AWS多个服务受到不同程度的影响,报障比例如下:

攻击分析

攻击原理

被控肉鸡发起大量的查询:随机字符串为前缀,后缀为亚马逊的域名,查询类型为CANME,例如gv73dzz0. s3.amazonaws.com,数量巨大
递归服务器收到大量肉鸡发送的针对亚马逊不存在域名的查询,最终查询的流量都将被转发到AWS权威DNS。这一过程递归DNS的资源同时遭到了大量的消耗。
亚马逊权威DNS遭受到海量的查询数据,资源耗尽,无法正常响应。导致DNS服务彻底瘫痪。

攻击表征分析

事件发生后,域名国家工程研究中心(ZDNS)专家团队对本次攻击进行了初步分析,发现此次针对AWS DNS的攻击具有如下表征:

  1. 攻击域名具有一定特点:部分攻击源发起了大量针对s3.amazonaws.com下的8位随机前缀域名查询(如gv73dzz0. s3.amazonaws.com),且查询类型为CNAME(常规客户端查询多为A/AAAA等类型);
  2. 攻击源数量庞大:本次针对AWS DNS服务的分布式拒绝服务(DDoS)攻击来源数量庞大、IP分散、攻击强度大;
  3. 攻击通过递归侧:很多攻击首先发向本地递归DNS,经由递归DNS至AWS DNS服务。这种攻击方式下,权威DNS很难隐藏和规避,同时也会对递归DNS造成不同程度影响;
  4. 攻击持续时间长:AWS官方宣称的系统恢复时间为北京时间9点30分,ZDNS分析发现在此时间点后攻击仍在持续。

打造安全DNS刻不容缓

为什么DNS的安全威胁日趋严峻?

DNS协议本身的脆弱性,基于UDP、尽力而为的服务,易遭受攻击,攻击成本低,攻击方式多。
DNS是互联网的入口,流量的航向标,遭受攻击影响广泛,受攻击者将在互联网消失,攻击收益高。

总结

域名系统作为互联网关键基础设施,是互联网访问的入口。近年来,面向网络基础设施发起的攻击增长迅猛,而针对DNS发起的DDoS攻击就占据了其中50%以上。因为域名服务故障通常会造成大面积的网络中断,严重程度远大于单个应用系统故障,所以安全DNS的重要性进一步凸显。(域名国家工程研究中心【ZDNS】在DNS安全领域有许多研究成果,可以进行更多了解)此次AWS DNS遭受攻击再次敲响了警钟,重视并加强DNS系统安全,建设安全DNS成为企业信息化建设核心任务,刻不容缓!

原文地址:https://www.cnblogs.com/zdns/p/11754151.html

时间: 2024-08-01 19:31:02

全球最大云服务商AWS 遭受DDoS攻击,DNS安全面临巨大挑战的相关文章

记一次阿里云服务器被用作DDOS攻击肉鸡

事件描述:阿里云报警 --检测该异常事件意味着您服务器上开启了"Chargen/DNS/NTP/SNMP/SSDP"这些UDP端口服务,黑客通过向该ECS发送伪造源IP和源端口的恶意UDP查询包,迫使该ECS向受害者发起了UDP DDOS攻击 源IP: xx.xx.xx.xx 源PORT: 111 目的PORT: 963 攻击类型: SunRPC反射攻击 扫描IP频数: 3 扫描TCP包频数: 11480 持续时间(分钟): 55 事件说明: 检测该异常事件意味着您服务器上开启了&qu

防止 DDoS 攻击的五个「大招」!

提到 DDoS 攻击,很多人不会陌生.上周,美国当地时间 12 月 29 日,专用虚拟服务器提供商 Linode 遭到 DDoS 攻击,直接影响其 Web 服务器的访问,其中 API 调用和管理功能受到严重影响,在被攻击的一周之内仍有部分功能不可用,严重影响其业务和成千上万使用 Linode 服务的用户. 什么是 DDoS 攻击? DDoS,即分布式拒绝服务(Distributed Denial of Service)攻击,指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个

治标更治本,如何从根源防护DDoS攻击

由于DDoS攻击越来越频繁,如何对抗DDoS攻击成为不少企业的难题.直播平台,视频网站,电商,金融网站等竞争性网站更是苦于应付. x86君与多名行业客户[这些客户业务基本上都是出于发展期或爆发期]交流后发现,大部分用户遭受DDoS攻击时往往发现他们所采用的DDoS攻击防护服务商都可以清洗3-4层Volume(流量型) DDoS攻击,但是在防护具有针对性的Volume或Application型DDoS攻击却毫没有特别有效的方案. 其原因在于DDoS攻击防护服务商无法非常了解用户业务特性或对针对性的

面对频繁的ddos攻击,游戏网站究竟该如何防御?

作为互联网上黑客最为常用的攻击手段,ddos攻击一出现,伤害必定小不了,尤其近几年,ddos攻击成本愈加低廉,黑客索性变本加厉的攻击,对于ddos攻击重灾区的游戏行业来说,可谓是苦不堪言. 那么为什么游戏行业易遭受ddos攻击呢?主要有四点原因.一是因为游戏行业生命周期短,很可能一款游戏半年时间便消失在用户视线之中,而黑客抓住了这一弱点,认定一旦发起攻击,游戏公司为保游戏一定会拿钱消灾:二是因为游戏网站必须24小时在线,连续提供服务,一旦遭受攻击,游戏不能上线会造成大量玩家流失:三是因为游戏市场

未来的DDoS 攻击战

一.未来的网络战 未来的网络战会同时表现出两种趋势:更广泛的打击和更精确的打击.更广泛的打击是指将敌对国家整体作为打击目标,通过制造社会混乱来降低对手的抵抗.战争爆发的同时,金融系统数据会突然出现混乱,各种交易无法进行:智能电网瘫痪,电力供应中断导致生产停滞:交通调度系统也陷入失控状态,城里的人无法出去,城外的物资无法进入:电话和网络中断,电视广播只能收到敌对台的宣传.这里描述的场景非幻想,其中的每种现象都是攻击者当前就可以通过网络攻击来实现的.例如,2008年俄罗斯和格鲁吉亚的战争中,格鲁吉亚

DDOS攻击原理及防护方法论

从 07年的爱沙尼亚DDOS信息战,到今年广西南宁30个网吧遭受到DDOS勒索,再到新浪网遭受DDOS攻击无法提供对外服务500多分钟. DDOS愈演愈烈,攻击事件明显增多,攻击流量也明显增大,形势十分严峻,超过1G的攻击流量频频出现,CNCERT/CC掌握的数据表明,最高时达到了 12G,这样流量,甚至连专业的机房都无法抵挡.更为严峻的是:利用DDOS攻击手段敲诈勒索已经形成了一条完整的产业链!并且,攻击者实施成本极低,在 网上可以随便搜索到一大堆攻击脚本.工具工具,对攻击者的技术要求也越来越

查看服务器是否被DDOS攻击的方法

伴随着现代互联网络快速发展,更加容易出现被攻击.尤其是ddos攻击已经不在是大网站需要关心的事情了.不少中小型企业,也在遭受ddos攻击.站长对ddos攻击不了解,所以网站被ddos攻击的时候,都不会轻易发现,最后导致的网站不能正常运行.站长们要怎样让自己的网站免去ddos攻击烦恼,以及如何查看服务器是否被ddos攻击,下面就来了解一下,如何查看服务器是否被ddos攻击吧. 服务器的攻击分为四类,cc攻击.syn攻击.udp攻击.tcp洪水攻击.那么当被攻击时会出现哪些症状呢,我们是如何来判断服

《浅析各类DDoS攻击放大技术》

原文链接:http://www.freebuf.com/articles/network/76021.html FreeBuf曾报道过,BT种子协议家族漏洞可用作反射分布式拒绝服务攻击(DRDoS attacks).此种攻击方式并非主流,以公开的论文看来效果堪比DNS,而NTP攻击则更胜一筹. 0×00 背景 攻击者可以利用BT种子协议(微传输协议[uTP],分布hash平台[DHT],消息流加密[MSE],BT种子同步[BTSync])来反射放大结点间传输量. 实验显示,攻击者可以利用BT结点

客户端遭受大流量的DDoS攻击了怎么办?

Anti防御(根据攻击情况推荐防御套餐)Anti防御是针对客户端在遭受大流量的DDoS攻击后导致服务不可用的情况下,推出的付费增值服务, 用户可以通过配置Anti防御,将攻击流量引流到Anti防御节点上,确保源站的稳定可靠. 把域名解析到Anti防御记录值上并配置源站IP:所有公网流量都会走高防机房,通过端口协议转发的 方式将用户的访问通过Anti防御节点转发到源站IP,同时将恶意攻击流量在Anti防御节点上进行清洗 过滤后将正常流量返回给源站IP,从而确保源站IP稳定访问的防护服务.发生DDo