报名参加CloudWeGo黑客松,奖金直推双丰收! 了解详情
写点什么

亚马逊宣布 AWS Shield 阻止分布式拒绝服务攻击

  • 2016-12-11
  • 本文字数:1341 字

    阅读完需:约 4 分钟

在最近的 2016 年 re:Invent 大会上,亚马逊宣布了一项叫做AWS Shield 的新服务,为客户提供针对分布式拒绝服务(DDoS)攻击的防护。

该声明就在亚马逊受DDos 攻击影响的一个月后,这次攻击攻击了亚马逊使用的一个叫Dynamic Network Services(Dyn)的DNS 提供商。这一攻击影响了亚马逊位于北弗吉利亚和爱尔兰的数据中心的一些服务。为了限制对客户的影响,亚马逊通过其他DNS 提供商重新路由流量。

DDoS 攻击越来越频繁。在 Akamai 发布的第一季度互联网安全状态报告中,Akamai 引用到:

分布式拒绝服务(DDoS)攻击同比增长了 125%。

Jeff Barr 是 AWS 的首席福音传道者。他在最近的一篇博文中描述了影响组织的三种常见 DDoS 攻击。它们包括:

  • 应用层攻击由结构良好但恶意的请求(HTTP GET 请求和 DNS 查询比较流行)构成。这些请求能消耗应用资源。例如,打开多个 HTTP 连接,然后花数秒甚至几分钟读取响应,会消耗过多的内存,组织合法请求被服务。
  • 状态表耗尽攻击滥用有状态协议,通过消耗每个连接的大量资源给防火墙和负载均衡器造成压力。
  • 容量耗尽攻击通过超过网络能处理的流量冲击或者通过发起伪造请求扰乱网络。大量伪造请求会让毫无戒备的受害者收到大量底层响应(也叫反射攻击)。

re:Invent 的主旨演讲中,亚马逊 CTO Werner Vogels 将这些攻击的分布分解为:

  • 64% 的 DDoS 攻击是容量耗尽攻击
  • 18% 是应用层攻击
  • 18% 是状态表耗尽攻击

图片来源:(截屏) https://youtu.be/ZDScBNahsL4?t=52m

为了保护客户不受这些类型的 DDoS 攻击,亚马逊发布的 AWS Shield 是一个分为两层的托管服务:

  • 标准 AWS Shield,所有客户都可使用,无额外付费。亚马逊声称标准 AWS Shield 能“现在能阻止 96% 的最常见攻击,包括 SYN/ACK floods、反射攻击和慢 HTTP 读”。这个防护会自动、透明地应用到弹性负载均衡器、CloudFront 分布和 Route 53 资源。
  • 高级 AWS Shield 是在标准 AWS Shield 基础上提供额外防护的收费服务。这些额外防护包括针对网络层(第 3 层)、传输层(第 4 层)和应用层(第 7 层)的智能 DDoS 攻击侦测。另外,客户在遭受 DDoS 攻击时可以求助 7 天 24 小时的 DDoS 响应团队以及额外的实时指标和报表。高级 AWS Shield 也为弹性负载均衡资源、CloudFront 和亚马逊 Route 53 承载区提供了成本保护。

图片来源:(截屏) https://youtu.be/ZDScBNahsL4?t=52m

亚马逊也给客户提供了一些指导,告诉他们哪一级的服务适合他们。对于具有安全特长的客户,如果愿意部署额外的Web 应用程序防火墙(WAF)作为深度防护策略的一部分,选择标准AWS Shield 可能比较合适。标准AWS Shield 也可能适合已有监控和通知平台的客户。

对于行业内经常受DDoS 攻击的客户,如媒体与娱乐行业,又希望有一个托管服务作额外的防护,高级AWS Shield 是一个更好的选择。作为这项高级服务的一部分,WAF 不需要额外付费。高级客户也会收到广泛的报表、通知和针对第3 层、第4 层和第7 层DDoS 攻击的攻击后分析以及避免与DDoS 攻击相关的意外消费费用。

查看英文原文: Amazon Announces AWS Shield for DDoS Protection


感谢冬雨对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2016-12-11 18:002106
用户头像

发布了 33 篇内容, 共 11.9 次阅读, 收获喜欢 10 次。

关注

评论

发布
暂无评论
发现更多内容

限流系列文章——令牌桶限流

李子捌

redis 限流 签约计划第二季

音视频理论(1)- 音频格式之 Monkeys Audio(APE)

liuzhen007

签约计划第二季

限流系列文章——滑动窗口限流

李子捌

redis 限流 签约计划第二季

Prometheus Exporter (十三)Elasticsearch Exporter

耳东@Erdong

elasticsearch Prometheus exporter 11月日更

Linux 调优之:调整 bond hash 策略提升网络吞吐能力

卫智雄

k8s statefulset controller源码分析

良凯尔

源码 Kubernetes 源码分析 #Kubernetes#

云原生训练营作业--部署k8s集群

好吃不贵

Flutter 中的手势【Flutter 专题10】

坚果

flutter 签约计划第二季

【高并发】如何使用Java7提供的Fork/Join框架实现高并发程序?

冰河

Java 并发编程 多线程 高并发 异步编程

数据分析从零开始实战,Pandas读写Excel/XML数据

老表

Python 数据分析 Excel pandas 11月日更

JSON 数据格式

大数据技术指南

11月日更

为什么我的 C4C Service Request 没办法 Release 到 ERP?

汪子熙

Cloud SAP abap C4C 11月日更

盘点Flutter领域的点点滴滴 【专题合集】

坚果

flutter 内容合集 签约计划第二季 技术专题合集

CloudPosse 的 Terraform 最佳实践

大可不加冰

DevOps 基础设施即代码 IaC Terraform HashiCorp

深入学习 SAP UI5 框架代码系列之二:UI5 控件的渲染器

汪子熙

SAP 签约计划第二季 ui5 渲染器 技术专题合集

畅聊分布式体系架构

吴脑的键客

分布式架构

Skip List(跳跃列表)它到底好在哪?今天我们不仅只聊为什么,还手写一个玩玩

李子捌

redis skiplist 签约计划第二季

限流系列文章——漏斗限流

李子捌

redis 限流 签约计划第二季

[Pulsar] 消息从Producer到Broker的历程

Zike Yang

Apache Pulsar 11月日更

跟小师妹一起学JVM-系列文章

程序那些事

Java JVM JIT 内容合集 签约计划第二季

转型中的学习型组织 ——阅读《第五项修炼》有感

研发管理Jojo

系统性思考 企业转型

深入学习 SAP UI5 框架代码系列之三:HTML 原生事件 VS UI5 Semantic 事件

汪子熙

JavaScript SAP 签约计划第二季 HTML原生事件 技术专题合集

李子捌 Redis精通系列文章 研究分享| 内容合集

李子捌

redis 内容合集 签约计划第二季 技术专题合集

Flutter 2.5 的新特性【Flutter专题12】

坚果

flutter 签约计划第二季

CSS之盒模型

Augus

CSS 11月日更

SAP Cloud for Customer Price 计价简介

汪子熙

Cloud SAP C4C 11月日更 pricing

新成就!OceanBase 入选 Forrester 首份分布式数据库报告

OceanBase 数据库

数据库 开源 新闻 oceanbase 荣誉

Flutter自定义日历【Flutter 专题 11】

坚果

flutter 签约计划第二季

URL URI傻傻分不清楚,dart告诉你该怎么用

程序那些事

flutter dart 程序那些事 11月日更

2021年大数据开发发展趋势

五分钟学大数据

11月日更

深入学习 SAP UI5 框架代码系列之一:UI5 Module 的懒加载机制

汪子熙

JavaScript SAP 签约计划第二季 ui5 技术专题合集

亚马逊宣布AWS Shield阻止分布式拒绝服务攻击_亚马逊云科技_Kent Weare_InfoQ精选文章