使用亚马逊云科技边缘服务保护基础架构免受 DDoS 攻击

最新推荐文章于 2024-10-31 13:46:29 发布

李白的朋友高适

最新推荐文章于 2024-10-31 13:46:29 发布

阅读量1.5k

点赞数 18

文章标签： aws 亚马逊云科技科技人工智能 re:Invent 2023 生成式AI 云服务

本文链接：https://blog.csdn.net/weixin_40272094/article/details/134791528

版权

演讲讨论了亚马逊云科技在re:Invent2023中的策略，包括使用AmazonShield、WAF和CloudFront应对DDoS攻击，重点放在应用层攻击的上升趋势和边缘服务的防护。演讲强调了实时保护基础设施和提供全面的DDoS弹性解决方案的重要性。

摘要由CSDN通过智能技术生成

关键字: [Amazon Web Services re:Invent 2023, Shield Advanced, Ddos Attacks, Mitigating Ddos, Amazon Web Services Edge Services, Protecting Infrastructure, Application Layer Attacks]

本文字数: 1800, 阅读完需: 9 分钟

视频

如视频不能正常播放，请前往bilibili观看本视频。>> https://www.bilibili.com/video/BV1ka4y1o7hr

导读

组织保护其网络基础架构免受 DDoS 事件的影响至关重要。加入本论坛，了解保护关键资产的防御策略，以及如何构建 DDoS 弹性外围，以支持使用 Amazon Shield、Amazon WAF 和 Amazon CloudFront 的不间断操作。了解如何使用 Amazon Shield 采用的高级缓解技术，提供全面保护和不间断服务可用性。

演讲精华

以下是小编为您整理的本次演讲的精华，共1500字，阅读时间大约是8分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。

在会议开始时，作为亚马逊云科技边界保护组织的威胁研究团队的经理，保罗进行了自我介绍。他的团队致力于深入了解针对亚马逊云科技的各种威胁，包括分析攻击类型、攻击来源和新攻击手段的趋势。通过这些全面研究收集到的情报，保罗的团队制定了可操作的见解，以更好地保护亚马逊云科技基础设施并推动安全功能的发展。

接着，Tauri介绍了他的背景，作为一名专注于边缘服务的解决方案架构师。他特别提到了与CloudFront、Edge Locations和Shield等关键边缘服务的广泛合作。Tauri强调，他与保罗在过去许多项目中共同工作，保罗提供了有价值的威胁情报，而Tauri则利用这些情报帮助亚马逊云科技的客户实施边缘服务以防御分布式拒绝服务（DDoS）攻击。例如，Tauri已经与许多客户合作配置了CloudFront和Shield Advanced以保护他们的Web应用程序免受DDoS攻击。

在会议的核心部分，保罗展示了一个图表，展示了每年由亚马逊云科技检测和减轻的DDoS事件的数量。该图表显示，这一数字每年稳定在约100万起，随着时间的推移没有大幅上下波动。然而，保罗迅速指出，这种相对平稳的趋势线并不意味着DDoS威胁环境是静止或减少的。他强调，DDoS攻击仍然是一个持续的威胁，攻击者不断创新新的技术和手段来进行毁灭性的DDoS攻击。

为了提供更详细的DDoS威胁不断演变的信息，保罗解释了亚马逊云科技如何将DDoS事件分为两个主要类别——基础设施层事件和应用层事件。基础设施层事件，如SYN洪水、UDP反射攻击和其他较低级别的网络协议滥用，已经存在多年。尽管这些类型的攻击在过去几年中大幅下降，仅占所有由亚马逊云科技检测到的DDoS攻击的44%。

相较于处理基于HTTP协议的底层应用层事件，它们正迅速增长。亚马逊云科技首次成功抵御了大部分（56%）的分布式拒绝服务（DDoS）攻击，这些攻击现已转变为大量HTTP请求的应用层攻击。更为严重的是，应用层威胁正以每年40%的速度快速增长。保罗强调，这是亚马逊云科技研究和新功能开发的关注重点，因为应用层攻击代表着当前分布式拒绝服务领域正在发生的真正创新。

为了展示亚马逊云科技在面对应用层问题时的严峻挑战，保罗引述了2022年第三季度曝光的一个漏洞，名为Rapid Reset，它利用了HTTP/2协议。亚马逊云科技曾观察到一次试图利用此漏洞的攻击，其每秒驱动惊人的1.55亿次请求。幸运的是，由于默认的分布式拒绝服务保护措施，CloudFront客户并未受到这次大规模攻击的影响。然而，这也揭示了新型、极为强大的分布式拒绝服务攻击手段正在涌现，亚马逊云科技必须积极应对这些问题。

深入研究应用层威胁，保罗透露，亚马逊云科技的威胁情报显示，约88%的这类攻击都在利用互联网上散布的各种开放代理服务器。他谨慎地指出，基于代理的服务器上的分布式拒绝服务攻击与基于僵尸网络的攻击有很大区别。僵尸网络攻击需要攻击者先用恶意软件感染易受攻击的系统，使其成为受命令和控制服务器控制的机器人。而基于代理的攻击则仅利用公开可用的代理服务器来汇集和模糊化恶意流量。

保罗解释称，互联网上有数千个为了各种目的而设置的开放代理服务器。例如，学生们可能会使用代理服务器来绕过大学里的限制。攻击者利用这些公开的代理服务器来发起分布式拒绝服务攻击，使得来自代理服务器的流量看起来不是来自实际的攻击服务器。

为了更深入地了解基于代理的分布式拒绝服务攻击，亚马逊云科技运营了一系列伪装成开放代理服务器的蜂蜜罐。通过模仿代理服务器的行为，这些亚马逊云科技的蜂蜜罐能收集关于用于发起攻击的代理网络的信息。这就是亚马逊云科技关注应用层威胁的一个例证。

亚马逊云科技如何保护其基础设施免受全球庞大网络中每天数千次DDoS攻击的侵害？保罗向观众揭示了内部运作。他强调亚马逊云科技采用了集成方法，将DDoS检测和减轻能力直接嵌入到网络边缘的服务中，如弹性负载平衡、CloudFront和全球加速器。通过这些服务监测网络流量异常，亚马逊云科技能够在攻击造成损害之前识别并在源头附近执行减轻措施。

保罗详细阐述了亚马逊云科技运用的一些关键技术：

默认启用的快速缓解方式，例如让CloudFront立即丢弃基础设施层的攻击流量，因为客户不期望这种类型的流量。这可以默认保护CloudFront客户。
协议感知缓解，例如SYN代理，用于处理TCP连接，防止通过强制打开无数TCP连接来消耗资源的SYN洪水攻击。SYN代理管理TCP握手过程以防止SYN洪水。
检测和阻止亚马逊云科技实例滥用，防止从亚马逊云科技网络内用于生成攻击流量的受损EC2实例。如果检测到出站攻击流量，亚马逊云科技会自动隔离实例以防止进一步滥用。
中断受感染的系统与外部命令服务器之间的机器人网络控制通信。亚马逊云科技会阻塞通往/来自机器人网络控制服务器的流量，阻止受感染的实例参与攻击。
积极与互联网服务提供商（ISP）和域名注册机构合作，打击已知不良行为者使用的基础设施。亚马逊云科技向合作伙伴提供智能信息，拆除代理服务器、机器人C2服务器和其他攻击基础设施。

为了证明这些破坏工作的效果，保罗提供了一个近期的例子，亚马逊云科技成功协调摧毁了一个每天发起超过400次DDoS攻击的代理网络。通过分析代理蜜罐收集的数据，亚马逊云科技找到了涉及的具体代理。随后，他们与托管提供商合作，从互联网上消除了这个攻击基础设施，迫使攻击者重新组织。

在此阶段，Tauri强调指出，抵御现代DDoS攻击是亚马逊云科技及其客户共同承担的责任。他概述了几项客户应采用的最佳实践，以构建能够吸收并从中恢复的大型规模事件的弹性工作负载。例如，Tauri建议客户在本地应用程序前面放置CloudFront作为反向代理。CloudFront提供的自动默认DDoS保护可以帮助吸收并在到达客户数据中心之前的DDoS攻击过滤掉。

另一个最佳实践是，Tauri覆盖了通过WAF启用对API Gateway和AppSync上无服务器工作负载的DDoS保护。WAF中可用的管理规则集和自定义规则允许客户过滤来自后端无服务器资源的DDoS流量。

Tauri还建议在非HTTP工作负载（不是运行在端口80/443上的）前使用Global Accelerator提供一些保护。即使交通与网络无关，Global Accelerator也可以吸收针对其他协议和端口的DDoS攻击。

他还建议在EC2托管的Web应用程序前面使用CloudFront来过滤噪音并启用强大的WAF保护。将CloudFront与专门针对应用程序定制的WAF规则结合使用，可以提供最大的应用层DDoS攻击保护。

在覆盖工作负载架构最佳实践之后，Tauri概述了两种用于减轻DDoS攻击的亚马逊云科技管理服务：

WAF允许客户配置规则，以过滤或阻止像CloudFront和ALB这样的7个亚马逊云科技服务的恶意网络交通。WAF提供了管理的规则集和支持自定义规则的灵活性，使客户能够在定制DDoS保护方面具有灵活性。
Shield Advanced提供DDoS攻击成本保护,访问亚马逊云科技DDoS响应专家,以及自动缓解功能。Shield与WAF集成以提供应用层攻击保护,自动部署WAF规则以阻止已识别的DDoS交通。

在总结中，Tauri强调，应对现代DDoS攻击需要亚马逊云科技及其客户共同努力。亚马逊云科技在其基础设施中预设了缓解措施，并提供诸如WAF和Shield Advanced等服务来帮助客户。然而，客户也需要遵循弹性架构的最佳实践，启用保护性服务，并配置定制化的WAF策略。通过携手合作并利用亚马逊云科技的WAF和Shield等DDoS防护措施，客户可以尽量降低当前复杂DDoS威胁带来的影响。

下面是一些演讲现场的精彩瞬间：

亚马逊云科技威胁研究团队的经理们探讨了如何通过分析威胁来构建可操作的情报以及提高安全功能。

作为解决方案架构专家的Aam分享了他的观点，并表示他将会讨论如何使用CloudFront、Edge和Shield服务来抵御DDoS攻击。

亚马逊云科技通过运用怀疑评分和包优先级化技术来管理Route 53服务点的容量和可用性。

注销僵尸网络域名的有效方式是可以打断其运营。

领导者推出了一项名为Shield Advanced的全新高级订阅服务，该服务为客户提供了来自响应团队的直接支持，以帮助他们减轻DDoS攻击带来的影响。

总结

本次演讲主要探讨了亚马逊云科技在应对DDoS攻击方面的技术和策略，以及客户如何借助亚马逊云科技的服务加强自身防御能力。

演讲人首先分析了当前DDoS攻击的趋势，指出尽管总攻击量相对稳定，但已逐渐从简单的网络攻击向更复杂、针对应用层的攻击转变。同时，他还列举了一些近期的案例，例如HTTP/2重置漏洞引发的每秒超过1亿次的攻击。

接着，演讲人对亚马逊云科技的多层次防御策略进行了深入解析，包括默认缓解措施、协议感知控制、内部滥用检测以及打击攻击者基础设施等方法。他强调了诸如SYN代理技术、Route 53可疑流量管理以及自动隔离受感染EC2实例等关键要素的作用。此外，演讲人还提到了亚马逊云科技如何通过主动清除命令与控制服务器及代理网络，降低成为DDoS攻击目标的诱惑力。

另一位演讲人则详细阐述了客户如何运用CloudFront、亚马逊云科技盾牌（Amazon Shield）和亚马逊云科技WAF等服务，进一步提升亚马逊云科技的防护效果。他提供了一些建议性的架构最佳实践，如在非亚马逊云科技的工作负载中采用CloudFront进行过滤无效流量；而对于亚马逊云科技的工作负载，应尽量使用CloudFront并添加WAF以控制和监测对应用的访问。亚马逊云科技盾牌高级版能够提供DDoS成本保护、DDoS响应专家支持以及自动缓解等功能。同时，他还展示了如何根据IP信誉等因素制定WAF规则，从而实现请求的允许、阻止或挑战。总之，这次演讲全面展示了亚马逊云科技如何在保护其基础设施的同时，为客户应用提供DDoS攻击的抵抗力。

演讲原文

https://blog.csdn.net/just2gooo/article/details/134791516

想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！

2023亚马逊云科技re:Invent全球大会 - 官方网站

点击此处，一键获取亚马逊云科技全球最新产品/服务资讯！

点击此处，一键获取亚马逊云科技中国区最新产品/服务资讯！

即刻注册亚马逊云科技账户，开启云端之旅！

【免费】亚马逊云科技“100 余种核心云服务产品免费试用”

【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”

亚马逊云科技是谁？

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者，自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务，涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体，以及应用开发、部署与管理等方面；基础设施遍及 31 个地理区域的 99 个可用区，并计划新建 4 个区域和 12 个可用区。全球数百万客户，从初创公司、中小企业，到大型企业和政府机构都信赖亚马逊云科技，通过亚马逊云科技的服务强化其基础设施，提高敏捷性，降低成本，加快创新，提升竞争力，实现业务成长和成功。