宕機(jī)，各大互聯(lián)網(wǎng)公司的噩夢之一。一旦宕機(jī)，官網(wǎng)、APP統(tǒng)統(tǒng)不靈光，接連而來的就是可以遇見的大規(guī)模客訴。

然而，任何一個公有云供應(yīng)商，在發(fā)展的歷史長河中，都或因人為因素、或因雷電太兇、或因機(jī)房停電、或因光纜被挖、或因代碼錯輸……遭遇了這樣那樣的宕機(jī)、故障。

而這次，倒霉的是亞馬遜。

據(jù)外媒10月22日報道，亞馬遜遭 DDoS 攻擊，部分 Amazon Web Services (AWS) 宕機(jī)，導(dǎo)致客戶的網(wǎng)站瀕臨崩潰。

AWS翻船，客戶抓狂

由于攻擊導(dǎo)致AWS服務(wù)持續(xù)中斷，不幸的網(wǎng)民遭遇了間歇性訪問互聯(lián)網(wǎng)AWS站點和相關(guān)服務(wù)失敗的痛苦經(jīng)歷。

老實說，和徹底打不開頁面相比，這種時好時壞的體驗更加捉弄人。這種感jio就像......

想必，接入AWS服務(wù)的企業(yè)此刻正被迫與互聯(lián)網(wǎng)“打心理戰(zhàn)”。

對此，亞馬遜的技術(shù)支持代理第一個現(xiàn)身說法——這不是天災(zāi)，是人禍！

他稱，由于AWS DNS服務(wù)器受到分布式拒絕服務(wù)（DDoS）攻擊的阻礙，攻擊者試圖用垃圾網(wǎng)絡(luò)流量淹沒系統(tǒng)，導(dǎo)致服務(wù)無法訪問。

有客戶反映，攻擊疑似從美國時間9點開始，這之后大約10個小時亞馬遜的AWS服務(wù)都處于宕機(jī)狀態(tài)。

在這種情況下，亞馬遜的DNS系統(tǒng)被大量數(shù)據(jù)包所阻塞，其中一些合法的域名請求被釋放并用于緩解流量阻塞。

也就是說，網(wǎng)站和應(yīng)用程序嘗試聯(lián)系亞馬遜的后端托管系統(tǒng)（例如S3存儲桶），這可能會導(dǎo)致失敗，從而導(dǎo)致錯誤消息或用戶空白頁。

例如，如果你的Web應(yīng)用程序或軟件嘗試通過mycloudydata.s3.amazonaws.com與你的存儲桶通信，則將該可讀地址轉(zhuǎn)換為IP地址的DNS查詢可能無法通過亞馬遜，這會導(dǎo)致代執(zhí)行失敗。

一種解決方法是——將存儲桶的區(qū)域插入地址中，如：mycloudydata.s3.us-east-2.amazonaws.com，這樣才能正確解析代碼。這個過程并非穩(wěn)定，一旦服務(wù)正常運(yùn)行，則說明緩存的DNS查詢正常。

攻擊導(dǎo)致AWS服務(wù)癱瘓

“之所以啟動緩解措施，是因為攻擊造成了間歇性DNS解析錯誤?！?/p>

這不僅影響到亞馬遜S3客戶，還妨礙到與依賴外部DNS查詢的亞馬遜服務(wù)的任何連接，例如Amazon Relational Database Service（RDS），Simple Queue Service（SQS），CloudFront，Elastic Compute Cloud（EC2）和Elastic Load Balancing (ELB)。

這些是無數(shù)站點和應(yīng)用程序用來處理訪問者和處理客戶信息的服務(wù)。

亞馬遜云支持控制臺發(fā)布推特稱，目前正在調(diào)查偶發(fā)DNS解析錯誤的報告。與此同時，AWS DNS服務(wù)器正受到DDoS攻擊，緩解措施不光正在吸收大量此類攻擊流量，也標(biāo)記了一些合法的客戶查詢，這給梳理攻擊源頭帶來了困難。

推特寫道：

受此事件影響的亞馬遜 S3客戶可以通過這一措施減輕配置更新過程中受到的不良影響，以指定其存儲桶所在的特定區(qū)域。

例如，客戶將在US-WEST-2地區(qū)的存儲桶中指定“ mybucket.s3.us-west-2.amazonaws.com”，而不是“ mybucket.s3.amazonaws.com”。如果您使用的是AWS開發(fā)工具包，則可以在亞馬遜S3客戶端配置中指定區(qū)域，以確保請求使用特定于區(qū)域的端點名稱。

DNS解析問題還間歇性地影響其他需要公共DNS解析的AWS服務(wù)終端。

之后，該云支持服務(wù)臺發(fā)推文稱，正在調(diào)查與Route 53和外部DNS提供商有關(guān)的間歇性DNS解析錯誤的報告。至此，亞馬遜并未提供更多相關(guān)信息。

參考來源：heregister

更多相關(guān)資訊請關(guān)注雷鋒網(wǎng)網(wǎng)絡(luò)安全頻道或雷鋒網(wǎng)旗下微信公眾號宅客頻道。雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。