事件回顧
據外媒10月22日報道,雲服務商巨頭亞馬遜AWS DNS 伺服器遭 DDoS 攻擊,攻擊者試圖通過垃圾網絡流量堵塞系統,造成服務無法通路,攻擊持續了15個小時!
大量資料包阻塞亞馬遜的 DNS 系統,其中一些合法的域名請求被釋放以緩解問題。也就是說網站和應用嘗試聯系後端亞馬遜托管的系統(如S3存儲桶)可能會失敗,導緻使用者看到出錯資訊或空白頁面。
長達15小時的DDoS的猛烈攻擊影響的不僅是S3,還會妨礙客戶連接配接到依賴外部DNS查詢的亞馬遜服務,包括亞馬遜關系資料庫服務(RDS)、簡單隊列服務(SQS)、CloudFront、彈性計算雲(EC2)和彈性負載均衡(ELB)在内的無數網站和應用軟體。他們依賴這些服務以處理訪客、處理客戶資訊。
AWS在網站狀态頁面和推特上均釋出了對于此次事件的說明,表示其正在處理:
間歇性的DNS解析錯誤 使用者報告Route 53和我們的外部DNS提供商出現偶爾的DNS解析錯誤,我們正展開調查。我們正在積極努力解決問題。
在承認被攻擊的推文釋出8小時後, AWS再次釋出公告表示問題已解決。但這并不是AWS第一次遭大規模DDoS攻擊。
2018年4月24日,黑客針對四段配置設定給AWS,本應作為AWS route53 DNS伺服器位址的IP空間釋出了虛假的BGP路由,導緻在BGP洩漏的兩個小時期間,DNS查詢都被重定向到了黑客的惡意DNS伺服器。(來自 cloudflare部落格)
追溯到2016年,當時美國有一半網際網路公司都被DDoS攻擊造成嚴重當機,包括AWS、Twitter、GitHub等我們熟知的網站。
移動網際網路應對政策
阿裡雲
HTTPDNS是面向移動開發者的一款域名解析産品,具有域名防劫持、精準排程的特性。HTTPDNS 是一款遞歸DNS服務,與權威DNS不同,HTTPDNS 并不具備決定解析結果的能力,而是主要負責解析過程的實作。相比傳統的DNS,HTTPDNS主要有下面四個優勢:
- 防劫持:繞過營運商 Local DNS ,避免域名劫持,讓每一次通路都暢通無阻。
- 精準排程:由于營運商政策的多樣性,其 Local DNS 的解析結果可能不是最近、最優的節點,HTTPDNS 能直接擷取用戶端 IP ,基于用戶端 IP 獲得最精準的解析結果,讓用戶端就近接入業務節點。
- 0ms解析延遲:通過熱點域名預解析、緩存DNS解析結果、解析結果懶更新政策等方式實作0延遲的域名解析效果。
- 快速生效:解決 “Local DNS 不遵循權威 TTL ,變更域名解析結果後全網無法即時生效”的問題。
阿裡雲SDNS最佳實踐
支援軟體定義解析(Software-Defined Name System,簡稱SDNS),讓開發者能夠自定義域名解析過程,實作更加靈活的域名流量排程政策和容災方案。
SDNS和阿裡雲函數計算結合,開發者可以通過函數計算編寫自定義函數,HTTPDNS在解析域名的過程中調用這些預定義的函數,執行開發者自定義的解析政策,再将最終的解析結果傳回給用戶端。
基于SDNS靈活的自定義函數功能,可以提升域名解析的多種能力。
- 自定義排程:實作比經典DNS更靈活的排程政策,除了按地域、按比例排程,還能支援帶業務屬性的排程,比如新功能定向灰階、基于使用者UserID的業務排程。
- 自定義擴充資訊:除了傳回經典DNS的IP位址、有效時間TTL等資訊,還能增加自定義的字段資訊,提供類似遠端配置的能力,靈活控制用戶端的功能和政策。
- DNS容災:域名DNS解析是通路入口,這個過程的容災對整個業務鍊路至關重要。通過SDNS功能,能夠自定義容災政策,當發生全網DNS故障時,可以降級到預先定義的兜底政策,減少故障對業務的影響。
- 運維平台關聯:内部運維系統可以通過API的方式和自定義函數關聯,實作DNS解析的政策設定、容災切換等操作在統一的内部運維平台中閉環完成。
【圖】基于HTTPDNS的域名排程平台
其實DDoS每天都在發生,大家一定要做好網絡安全防護,使用安全、精準的解析産品,防患于未然。
更多參考資料:
[1]
移動網際網路時代,如何優化你的網絡 —— 域名解析篇[2]
聊一聊DNS劫持那些事[3]
阿裡雲 EMAS HTTPDNS 聯合函數計算重磅推出 SDNS 服務,三大能力獲得突破[4]
如何利用HTTPDNS降低DNS解析開銷[5]
那些年移動App域名解析踩過的坑