Pull to refresh

Comments 10

А как Amazon поступает в случае очень крупной DDoS атаки? Я читал про Shield, но не нашёл упоминаний конкретных чисел (кроме цен =)). Может ли Amazon справиться с 500 Гбит/с, есть ли предел при котором проблемного клиента попросят уйти?
Попросят уйти из-за DDOS-атаки? Я про такое не слышал.
Что касается пределов, то они разные в разных регионах. При этом пропускная способность и бэкбона и PoP шарится между трафиком клиентов и внутренним трафиком. И все это в динамике. А еще это зависит от того, какой сервис DDOS-ят. Некоторые сервисы, например Route53, архитектурно построены таким образом, что убить их такой атакой предельно сложно. Подробно объяснять не буду, но упомяну, что за этим сервисом зарезервирован диапазон /21. Ну и все это any-cast хозяйство размазано по всей планете. Не так равномерно, как хотелось бы, но все же :). Кстати, Route53 — это единственный сервис у которого SLA на доступность не 9-ки, а 100%.
Конкретный PoP, думаю, если сильно захотеть, задидосить можно. Но есть умные фильтры, которые будут стараться отсечь такой трафик. А еще есть специальная круглосуточная команда DDOS Response Team, которая за всем этим следит и вмешается в ручном режиме, если совсем станет плохо.

Подскажите, пожалуйста, DDOS Response Team только при подписке на Shield Premium подключаться если EC2 атакуют?
Было ли такое, что AWS выключал клиенту сервис из-за атаки?

Честно говоря, я не знаю, были ли случаи.
Для того, чтобы вам это команда гарантированно помогала, то действительно нужна подписка Shield Premium. Думаю, если ддосят клиентские (т. е. ваши) сервисы и такой подписки нет, то команда в ручном режиме ничего делать не будет. Можете полагаться только на автоматические фильтры, которые на L4 бесплатны. Но если идет масштабный ддос, который влияет на доступность AWS сервисов для других заказчиков, то они, скорее всего, вмешаются. Но это мои личные предположения.
Ну и еще один момент. Для нас не всегда очевидно, когда клиентов ддосят, а когда это ожидаемый пик нагрузки, очередная черная пятница. Думаю, вы расстроитесь если мы начнем резать легитимный трафик, просто заподозрив в нем атаку. Поэтому фильтровать и вмешиваться по любому поводу не только не полезно, но и вредно.

Это, кстати дает еще один повод напомнить, что к пиковым нагрузкам можно и нужно готовиться. Например заранее отправить запрос на прогрев балансировщиков. Это бесплатно, но требует планирования. :)
Как пример «статистики» :)
Amazon CloudFront customers were automatically protected against 84,289 Distributed Denial of Service (DDoS) attacks in 2018, including a 1.4 Tbps memcached reflection attack.
CloudFront customers used AWS Shield Advanced and AWS WAF to mitigate application-layer attacks, including a flood of over 20 million requests per second.
Война, что тут скажешь…
Я, честно говоря подробности инцидента не знаю. Я в приведенной статье читаю, что завалили резолвинг «глобальных» S3 эндпоинтов, которые относятся только к Сев. Вирджинии. Региональные эндпоинты резолвились нормально. Так что DNS как сервис никто не задидосил. Хотя, конечно, и в таком инциденте ничего приятного нет.

Кстати, любые комментарии — это мое личное мнение. :) А то потом процитируют, как позицию AWS… :)
Интересная статья, спасибо. В дополнение хочу порекомендовать тем, кто не видел, отличное выступление James Hamilton на ReInvent

Спасибо за статью. Весьма познавательно. Только вот в статье не раскрыто как же сделана физическая сеть, что тоже интересно.

Sign up to leave a comment.