亚马逊宣布 AWS Shield 阻止分布式拒绝服务攻击

在最近的 2016 年 re:Invent 大会上，亚马逊宣布了一项叫做AWS Shield 的新服务，为客户提供针对分布式拒绝服务（DDoS）攻击的防护。

该声明就在亚马逊受DDos 攻击影响的一个月后，这次攻击攻击了亚马逊使用的一个叫Dynamic Network Services（Dyn）的DNS 提供商。这一攻击影响了亚马逊位于北弗吉利亚和爱尔兰的数据中心的一些服务。为了限制对客户的影响，亚马逊通过其他DNS 提供商重新路由流量。

DDoS 攻击越来越频繁。在 Akamai 发布的第一季度互联网安全状态报告中，Akamai 引用到：

分布式拒绝服务（DDoS）攻击同比增长了 125%。

Jeff Barr 是 AWS 的首席福音传道者。他在最近的一篇博文中描述了影响组织的三种常见 DDoS 攻击。它们包括：

• 应用层攻击由结构良好但恶意的请求（HTTP GET 请求和 DNS 查询比较流行）构成。这些请求能消耗应用资源。例如，打开多个 HTTP 连接，然后花数秒甚至几分钟读取响应，会消耗过多的内存，组织合法请求被服务。
• 状态表耗尽攻击滥用有状态协议，通过消耗每个连接的大量资源给防火墙和负载均衡器造成压力。
• 容量耗尽攻击通过超过网络能处理的流量冲击或者通过发起伪造请求扰乱网络。大量伪造请求会让毫无戒备的受害者收到大量底层响应（也叫反射攻击）。

在 re:Invent 的主旨演讲中，亚马逊 CTO Werner Vogels 将这些攻击的分布分解为：

• 64% 的 DDoS 攻击是容量耗尽攻击
• 18% 是应用层攻击
• 18% 是状态表耗尽攻击

图片来源：（截屏） https://youtu.be/ZDScBNahsL4?t=52m

为了保护客户不受这些类型的 DDoS 攻击，亚马逊发布的 AWS Shield 是一个分为两层的托管服务：

• 标准 AWS Shield，所有客户都可使用，无额外付费。亚马逊声称标准 AWS Shield 能“现在能阻止 96% 的最常见攻击，包括 SYN/ACK floods、反射攻击和慢 HTTP 读”。这个防护会自动、透明地应用到弹性负载均衡器、CloudFront 分布和 Route 53 资源。
• 高级 AWS Shield 是在标准 AWS Shield 基础上提供额外防护的收费服务。这些额外防护包括针对网络层（第 3 层）、传输层（第 4 层）和应用层（第 7 层）的智能 DDoS 攻击侦测。另外，客户在遭受 DDoS 攻击时可以求助 7 天 24 小时的 DDoS 响应团队以及额外的实时指标和报表。高级 AWS Shield 也为弹性负载均衡资源、CloudFront 和亚马逊 Route 53 承载区提供了成本保护。

图片来源：（截屏） https://youtu.be/ZDScBNahsL4?t=52m

亚马逊也给客户提供了一些指导，告诉他们哪一级的服务适合他们。对于具有安全特长的客户，如果愿意部署额外的Web 应用程序防火墙（WAF）作为深度防护策略的一部分，选择标准AWS Shield 可能比较合适。标准AWS Shield 也可能适合已有监控和通知平台的客户。

对于行业内经常受DDoS 攻击的客户，如媒体与娱乐行业，又希望有一个托管服务作额外的防护，高级AWS Shield 是一个更好的选择。作为这项高级服务的一部分，WAF 不需要额外付费。高级客户也会收到广泛的报表、通知和针对第3 层、第4 层和第7 层DDoS 攻击的攻击后分析以及避免与DDoS 攻击相关的意外消费费用。

查看英文原文： Amazon Announces AWS Shield for DDoS Protection

感谢冬雨对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ， @丁晓昀），微信（微信号： InfoQChina ）关注我们。