亚马逊AWS又双叒叕宕机，这次是人祸

然而，任何一个公有云供应商，在发展的历史长河中，都或因人为因素、或因雷电太凶、或因机房停电、或因光缆被挖、或因代码错输……遭遇了这样那样的宕机、故障。

而这次， 倒霉 的是亚马逊。

据外媒10月22日报道，亚马逊遭 DDoS 攻击，部分 Amazon Web Services (AWS) 宕机，导致客户网站濒临崩溃。

AWS翻船，客户抓狂

由于攻击导致AWS服务持续中断，不幸的网民遭遇了间歇性访问互联网AWS站点和相关服务失败的痛苦经历。

老实说，和彻底打不开页面相比，这种时好时坏的体验更加捉弄人。这种感jio就像......

想必，接入AWS服务的企业此时正被迫与互联网“打心理战”。

对此，亚马逊的技术支持代理第一个现身说法——这不是天灾，是人祸！

他称，由于AWS DNS服务器受到分布式拒绝服务（DDoS）攻击的阻碍，攻击者试图用垃圾网络流量淹没系统，导致服务无法访问。

有客户反映，攻击疑似从美国时间9点开始，这之后大约10个小时亚马逊的AWS服务都处于宕机状态。

在这种情况下，亚马逊的DNS系统被大量数据包所阻塞，其中一些合法的域名请求被释放并用于缓解流量阻塞。

也就是说，网站和应用程序尝试联系亚马逊的后端托管系统（例如S3存储桶），这可能会导致失败，从而导致错误消息或用户空白页。

例如，如果你的Web应用程序或软件尝试通过mycloudydata.s3.amazonaws.com与你的存储桶通信，则将该可读地址转换为IP地址的DNS查询可能无法通过亚马逊，这会导致代码执行失败。

一种解决方法是——将存储桶的区域插入地址中，如：mycloudydata.s3.us-east-2.amazonaws.com，这样才能正确解析代码。这个过程并非稳定，一旦服务正常运行，则说明缓存的DNS查询运行正常。

攻击导致AWS服务瘫痪

“之所以启动缓解措施，是因为攻击造成了间歇性DNS解析错误。”

这不仅影响到亚马逊S3客户，还妨碍到与依赖外部DNS查询的亚马逊服务的任何连接，例如Amazon Relational Database Service（RDS），Simple Queue Service（SQS），CloudFront，Elastic Compute Cloud（EC2）和Elastic Load Balancing (ELB)。

这些是无数站点和应用程序用来处理访问者和客户信息的服务。

亚马逊云支持控制台发布推特称，目前正在调查偶发DNS解析错误的报告。与此同时，AWS DNS服务器正受到DDoS攻击，缓解措施不光正在吸收大量此类攻击流量，也标记了一些合法的客户查询，这给梳理攻击源头带来了困难。

推特写道：

受此事件影响的亚马逊 S3客户可以通过这一措施减轻配置更新过程中受到的不良影响，以指定其存储桶所在的特定区域。

例如，客户将在US-WEST-2地区的存储桶中指定“ mybucket.s3.us-west-2.amazonaws.com”，而不是“ mybucket.s3.amazonaws.com”。如果您使用的是AWS开发工具包，则可以在亚马逊S3客户端配置中指定区域，以确保请求使用特定于区域的端点名称。

DNS解析问题还间歇性地影响其他需要公共DNS解析的AWS服务终端。

之后，该云支持服务台发推文称，正在调查与Route 53和外部DNS提供商有关的间歇性DNS解析错误的报告。至此，亚马逊并未提供更多相关信息。

参考来源：

heregister

https://www.theregister.co.uk/2019/10/22/aws_dns_ddos/

-----招聘好基友的分割线-----

招聘岗位：

网络安全编辑（采编岗）

工作内容：

主要负责报道国内外网络安全相关热点新闻、会议、论坛、公司动向等；

采访国内外网络安全研究人员，撰写原创报道，输出领域的深度观点；

针对不同发布渠道，策划不同类型选题；

参与打理宅客频道微信公众号等。

岗位要求：

对网络安全有兴趣，有相关知识储备或从业经历更佳；

科技媒体1-2年从业经验；

有独立采编和撰写原创报道的能力；

加分项：网感好，擅长新媒体写作、90后、英语好、自带段子手属性……

你将获得的是：

与国内外网络安全领域顶尖安全大牛聊人生的机会；

国内出差可能不新鲜了，我们还可以硅谷轮岗、国外出差（+顺便玩耍）；

你将体验各种前沿黑科技，掌握一手行业新闻、大小公司动向，甚至是黑客大大们的独家秘闻；

老司机编辑手把手带；

以及与你的能力相匹配的薪水。

坐标北京，简历投递至：[email protected]