Antech 2019-10-28
2019年10月23日,亚马逊AWS DNS服务(Route 53)受到了分布式拒绝服务(DDoS)攻击,恶意攻击者向系统发送大量垃圾流量,致使服务长时间受到影响。
持续时间:北京时间10月23日 01:30分至10月23日 09:30分(AWS官方宣称)
从AWS故障报告统计图可以看到,报障时间同上述故障时段基本吻合。
而该时间段内AWS多个服务受到不同程度的影响,报障比例如下:
被控肉鸡发起大量的查询:随机字符串为前缀,后缀为亚马逊的域名,查询类型为CANME,例如gv73dzz0. s3.amazonaws.com,数量巨大
递归服务器收到大量肉鸡发送的针对亚马逊不存在域名的查询,最终查询的流量都将被转发到AWS权威DNS。这一过程递归DNS的资源同时遭到了大量的消耗。
亚马逊权威DNS遭受到海量的查询数据,资源耗尽,无法正常响应。导致DNS服务彻底瘫痪。
事件发生后,域名国家工程研究中心(ZDNS)专家团队对本次攻击进行了初步分析,发现此次针对AWS DNS的攻击具有如下表征:
为什么DNS的安全威胁日趋严峻?
DNS协议本身的脆弱性,基于UDP、尽力而为的服务,易遭受攻击,攻击成本低,攻击方式多。
DNS是互联网的入口,流量的航向标,遭受攻击影响广泛,受攻击者将在互联网消失,攻击收益高。
域名系统作为互联网关键基础设施,是互联网访问的入口。近年来,面向网络基础设施发起的攻击增长迅猛,而针对DNS发起的DDoS攻击就占据了其中50%以上。因为域名服务故障通常会造成大面积的网络中断,严重程度远大于单个应用系统故障,所以安全DNS的重要性进一步凸显。(域名国家工程研究中心【ZDNS】在DNS安全领域有许多研究成果,可以进行更多了解)此次AWS DNS遭受攻击再次敲响了警钟,重视并加强DNS系统安全,建设安全DNS成为企业信息化建设核心任务,刻不容缓!