全球最大云服务商AWS 遭受DDoS攻击,DNS安全面临巨大挑战
事件描述
亚马逊AWS DNS服务瘫痪
2019年10月23日,亚马逊AWS DNS服务(Route 53)受到了分布式拒绝服务(DDoS)攻击,恶意攻击者向系统发送大量垃圾流量,致使服务长时间受到影响。
事件影响
持续时间:北京时间10月23日 01:30分至10月23日 09:30分(AWS官方宣称)
从AWS故障报告统计图可以看到,报障时间同上述故障时段基本吻合。
而该时间段内AWS多个服务受到不同程度的影响,报障比例如下:
攻击分析
攻击原理
被控肉鸡发起大量的查询:随机字符串为前缀,后缀为亚马逊的域名,查询类型为CANME,例如gv73dzz0. s3.amazonaws.com,数量巨大
递归服务器收到大量肉鸡发送的针对亚马逊不存在域名的查询,最终查询的流量都将被转发到AWS权威DNS。这一过程递归DNS的资源同时遭到了大量的消耗。
亚马逊权威DNS遭受到海量的查询数据,资源耗尽,无法正常响应。导致DNS服务彻底瘫痪。
攻击表征分析
事件发生后,域名国家工程研究中心(ZDNS)专家团队对本次攻击进行了初步分析,发现此次针对AWS DNS的攻击具有如下表征:
- 攻击域名具有一定特点:部分攻击源发起了大量针对s3.amazonaws.com下的8位随机前缀域名查询(如gv73dzz0. s3.amazonaws.com),且查询类型为CNAME(常规客户端查询多为A/AAAA等类型);
- 攻击源数量庞大:本次针对AWS DNS服务的分布式拒绝服务(DDoS)攻击来源数量庞大、IP分散、攻击强度大;
- 攻击通过递归侧:很多攻击首先发向本地递归DNS,经由递归DNS至AWS DNS服务。这种攻击方式下,权威DNS很难隐藏和规避,同时也会对递归DNS造成不同程度影响;
- 攻击持续时间长:AWS官方宣称的系统恢复时间为北京时间9点30分,ZDNS分析发现在此时间点后攻击仍在持续。
打造安全DNS刻不容缓
为什么DNS的安全威胁日趋严峻?
DNS协议本身的脆弱性,基于UDP、尽力而为的服务,易遭受攻击,攻击成本低,攻击方式多。
DNS是互联网的入口,流量的航向标,遭受攻击影响广泛,受攻击者将在互联网消失,攻击收益高。
域名系统作为互联网关键基础设施,是互联网访问的入口。近年来,面向网络基础设施发起的攻击增长迅猛,而针对DNS发起的DDoS攻击就占据了其中50%以上。因为域名服务故障通常会造成大面积的网络中断,严重程度远大于单个应用系统故障,所以安全DNS的重要性进一步凸显。(域名国家工程研究中心【ZDNS】在DNS安全领域有许多研究成果,可以进行更多了解)此次AWS DNS遭受攻击再次敲响了警钟,重视并加强DNS系统安全,建设安全DNS成为企业信息化建设核心任务,刻不容缓!