宕機(jī)，各大互聯(lián)網(wǎng)公司的噩夢(mèng)之一。一旦宕機(jī)，官網(wǎng)、APP統(tǒng)統(tǒng)不靈光，接連而來(lái)的就是可以遇見(jiàn)的大規(guī)模客訴。

然而，任何一個(gè)公有云供應(yīng)商，在發(fā)展的歷史長(zhǎng)河中，都或因人為因素、或因雷電太兇、或因機(jī)房停電、或因光纜被挖、或因代碼錯(cuò)輸……遭遇了這樣那樣的宕機(jī)、故障。

而這次，倒霉的是亞馬遜。

據(jù)外媒10月22日?qǐng)?bào)道，亞馬遜遭 DDoS 攻擊，部分 Amazon Web Services (AWS) 宕機(jī)，導(dǎo)致客戶(hù)的網(wǎng)站瀕臨崩潰。

AWS翻船，客戶(hù)抓狂

由于攻擊導(dǎo)致AWS服務(wù)持續(xù)中斷，不幸的網(wǎng)民遭遇了間歇性訪(fǎng)問(wèn)互聯(lián)網(wǎng)AWS站點(diǎn)和相關(guān)服務(wù)失敗的痛苦經(jīng)歷。

老實(shí)說(shuō)，和徹底打不開(kāi)頁(yè)面相比，這種時(shí)好時(shí)壞的體驗(yàn)更加捉弄人。這種感jio就像......

想必，接入AWS服務(wù)的企業(yè)此刻正被迫與互聯(lián)網(wǎng)“打心理戰(zhàn)”。

對(duì)此，亞馬遜的技術(shù)支持代理第一個(gè)現(xiàn)身說(shuō)法——這不是天災(zāi)，是人禍！

他稱(chēng)，由于A(yíng)WS DNS服務(wù)器受到分布式拒絕服務(wù)（DDoS）攻擊的阻礙，攻擊者試圖用垃圾網(wǎng)絡(luò)流量淹沒(méi)系統(tǒng)，導(dǎo)致服務(wù)無(wú)法訪(fǎng)問(wèn)。

有客戶(hù)反映，攻擊疑似從美國(guó)時(shí)間9點(diǎn)開(kāi)始，這之后大約10個(gè)小時(shí)亞馬遜的AWS服務(wù)都處于宕機(jī)狀態(tài)。

在這種情況下，亞馬遜的DNS系統(tǒng)被大量數(shù)據(jù)包所阻塞，其中一些合法的域名請(qǐng)求被釋放并用于緩解流量阻塞。

也就是說(shuō)，網(wǎng)站和應(yīng)用程序嘗試聯(lián)系亞馬遜的后端托管系統(tǒng)（例如S3存儲(chǔ)桶），這可能會(huì)導(dǎo)致失敗，從而導(dǎo)致錯(cuò)誤消息或用戶(hù)空白頁(yè)。

例如，如果你的Web應(yīng)用程序或軟件嘗試通過(guò)mycloudydata.s3.amazonaws.com與你的存儲(chǔ)桶通信，則將該可讀地址轉(zhuǎn)換為IP地址的DNS查詢(xún)可能無(wú)法通過(guò)亞馬遜，這會(huì)導(dǎo)致代執(zhí)行失敗。

一種解決方法是——將存儲(chǔ)桶的區(qū)域插入地址中，如：mycloudydata.s3.us-east-2.amazonaws.com，這樣才能正確解析代碼。這個(gè)過(guò)程并非穩(wěn)定，一旦服務(wù)正常運(yùn)行，則說(shuō)明緩存的DNS查詢(xún)正常。

攻擊導(dǎo)致AWS服務(wù)癱瘓

“之所以啟動(dòng)緩解措施，是因?yàn)楣粼斐闪碎g歇性DNS解析錯(cuò)誤。”

這不僅影響到亞馬遜S3客戶(hù)，還妨礙到與依賴(lài)外部DNS查詢(xún)的亞馬遜服務(wù)的任何連接，例如Amazon Relational Database Service（RDS），Simple Queue Service（SQS），CloudFront，Elastic Compute Cloud（EC2）和Elastic Load Balancing (ELB)。

這些是無(wú)數(shù)站點(diǎn)和應(yīng)用程序用來(lái)處理訪(fǎng)問(wèn)者和處理客戶(hù)信息的服務(wù)。

亞馬遜云支持控制臺(tái)發(fā)布推特稱(chēng)，目前正在調(diào)查偶發(fā)DNS解析錯(cuò)誤的報(bào)告。與此同時(shí)，AWS DNS服務(wù)器正受到DDoS攻擊，緩解措施不光正在吸收大量此類(lèi)攻擊流量，也標(biāo)記了一些合法的客戶(hù)查詢(xún)，這給梳理攻擊源頭帶來(lái)了困難。

推特寫(xiě)道：

受此事件影響的亞馬遜 S3客戶(hù)可以通過(guò)這一措施減輕配置更新過(guò)程中受到的不良影響，以指定其存儲(chǔ)桶所在的特定區(qū)域。

例如，客戶(hù)將在US-WEST-2地區(qū)的存儲(chǔ)桶中指定“ mybucket.s3.us-west-2.amazonaws.com”，而不是“ mybucket.s3.amazonaws.com”。如果您使用的是AWS開(kāi)發(fā)工具包，則可以在亞馬遜S3客戶(hù)端配置中指定區(qū)域，以確保請(qǐng)求使用特定于區(qū)域的端點(diǎn)名稱(chēng)。

DNS解析問(wèn)題還間歇性地影響其他需要公共DNS解析的AWS服務(wù)終端。

之后，該云支持服務(wù)臺(tái)發(fā)推文稱(chēng)，正在調(diào)查與Route 53和外部DNS提供商有關(guān)的間歇性DNS解析錯(cuò)誤的報(bào)告。至此，亞馬遜并未提供更多相關(guān)信息。

參考來(lái)源：heregister

更多相關(guān)資訊請(qǐng)關(guān)注雷鋒網(wǎng)網(wǎng)絡(luò)安全頻道或雷鋒網(wǎng)旗下微信公眾號(hào)宅客頻道。雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。