AWS的DNS服务器在不久前受到分布式拒绝服务(DDoS)攻击,作恶者利用DDoS攻击,试图用垃圾网络流量淹没系统,导致服务无法访问。
在这种情况下,Amazon的DNS系统被大量数据包所阻塞,其中一些合法的域名查询作为缓解措施的一部分被无意中丢弃了。这意味着网站和应用程序尝试联系后端Amazon托管的系统(例如S3存储桶)可能会失败,从而导致错误消息或用户空白页。
例如,如果您的Web应用程序或软件尝试通过mycloudydata.s3.amazonaws.com与您的存储桶通信,则将该可读地址转换为IP地址的DNS查询可能无法通过Amazon,这可能会导致您代码失败。一种解决方法是将存储桶的区域插入地址中,例如:mycloudydata.s3.us-east-2.amazonaws.com,我们被告知应该正确解析。从服务正常运行时开始,缓存的DNS查询显然仍将起作用。
部分停机时间始于大约10个小时前,即美国东海岸时间0900左右,而在撰写本文时,AWS的DNS服务器仍处于围困之中。这不仅影响到S3:还将妨碍与依赖外部DNS查询的Amazon服务的任何连接,例如Amazon Relational Database Service(RDS),Simple Queue Service(SQS),CloudFront,Elastic Compute Cloud(EC2)和弹性负载平衡(ELB)。这些是无数站点和应用程序用来处理访问者和处理客户信息的服务。
Jeff-Bezos运行的云技术巨头的状态页面上的注释现在显示为:
间歇性DNS解析错误
我们正在调查与Route 53和我们的外部DNS提供商偶尔发生DNS解析错误的报告。我们正在积极致力于解决。
同时,今天早些时候,AWS客户表示,他们从支持代理商处收到了以下说明,表明该美国公司正在遭受DDoS网络攻击:
我们正在调查偶发DNS解析错误的报告。AWS DNS服务器当前受到DDoS攻击。
我们的DDoS缓解措施正在吸收大量此类流量,但是这些缓解措施目前还标记了一些合法的客户查询。
我们正在积极致力于其他缓解措施,并跟踪攻击源以将其关闭。受此事件影响的Amazon S3客户可以在访问请求以减轻影响时更新其访问S3的客户端的配置,以指定其存储桶所在的特定区域。
例如,客户将在US-WEST-2地区的存储桶中指定“ mybucket.s3.us-west-2.amazonaws.com”,而不是“ mybucket.s3.amazonaws.com”。如果您使用的是AWS开发工具包,则可以在Amazon S3客户端配置中指定区域,以确保您的请求使用此特定于区域的端点名称。
DNS解析问题还间歇性地影响其他需要公共DNS解析的AWS服务终端,例如ELB,RDS和EC2。
我们已要求亚马逊提供更多信息。大约一个小时前,其云支持服务台发推文:“我们正在调查与Route 53和我们的外部DNS提供商有关的间歇性DNS解析错误的报告。”
一方面,Digital Ocean在这里记录了DNS中断对其自身系统的影响。®
更新以添加
在状态页更新中,亚马逊现在声称停电已经结束。它表示:
在太平洋夏令时间10:30 AM到6:30 PM之间,我们遇到了间歇性错误,并解析了一些AWS DNS名称。从下午5:16开始,极少数的特定DNS名称的错误率更高。这些问题已经解决。