在最近的2016年re:Invent大會上，亞馬遜宣布了一項叫做AWS Shield的新服務，為客戶提供針對分布式拒絕服務（DDoS）攻擊的防護。

該聲明就在亞馬遜受DDos攻擊影響的一個月后，這次攻擊攻擊了亞馬遜使用的一個叫Dynamic Network Services（Dyn）的DNS提供商。這一攻擊影響了亞馬遜位于北弗吉利亞和愛爾蘭的數據中心的一些服務。為了限制對客戶的影響，亞馬遜通過其他DNS提供商重新路由流量。

DDoS攻擊越來越頻繁。在Akamai發布的第一季度互聯網安全狀態報告中，Akamai引用到：

分布式拒絕服務（DDoS）攻擊同比增長了125%。

Jeff Barr是AWS的首席福音傳道者。他在最近的一篇博文中描述了影響組織的三種常見DDoS攻擊。它們包括：

應用層攻擊由結構良好但惡意的請求（HTTP GET請求和DNS查詢比較流行）構成。這些請求能消耗應用資源。例如，打開多個HTTP連接，然后花數秒甚至幾分鐘讀取響應，會消耗過多的內存，組織合法請求被服務。 狀態表耗盡攻擊濫用有狀態協議，通過消耗每個連接的大量資源給防火墻和負載均衡器造成壓力。 容量耗盡攻擊通過超過網絡能處理的流量沖擊或者通過發起偽造請求擾亂網絡。大量偽造請求會讓毫無戒備的受害者收到大量底層響應（也叫反射攻擊）。

在re:Invent的主旨演講中，亞馬遜CTO Werner Vogels將這些攻擊的分布分解為：

64%的DDoS攻擊是容量耗盡攻擊 18%是應用層攻擊 18%是狀態表耗盡攻擊

　　圖片來源：（截屏）https://youtu.be/ZDScBNahsL4?t=52m

為了保護客戶不受這些類型的DDoS攻擊，亞馬遜發布的AWS Shield是一個分為兩層的托管服務：

標準AWS Shield，所有客戶都可使用，無額外付費。亞馬遜聲稱標準AWS Shield能“現在能阻止96%的最常見攻擊，包括SYN/ACK floods、反射攻擊和慢HTTP讀”。這個防護會自動、透明地應用到彈性負載均衡器、CloudFront分布和Route 53資源。 高級AWS Shield是在標準AWS Shield基礎上提供額外防護的收費服務。這些額外防護包括針對網絡層（第3層）、傳輸層（第4層）和應用層（第7層）的智能DDoS攻擊偵測。另外，客戶在遭受DDoS攻擊時可以求助7天24小時的DDoS響應團隊以及額外的實時指標和報表。高級AWS Shield也為彈性負載均衡資源、CloudFront和亞馬遜Route 53承載區提供了成本保護。

　　圖片來源：（截屏）https://youtu.be/ZDScBNahsL4?t=52m

亞馬遜也給客戶提供了一些指導，告訴他們哪一級的服務適合他們。對于具有安全特長的客戶，如果愿意部署額外的Web應用程序防火墻（WAF）作為深度防護策略的一部分，選擇標準AWS Shield可能比較合適。標準AWS Shield也可能適合已有監控和通知平臺的客戶。

對于行業內經常受DDoS攻擊的客戶，如媒體與娛樂行業，又希望有一個托管服務作額外的防護，高級AWS Shield是一個更好的選擇。作為這項高級服務的一部分，WAF不需要額外付費。高級客戶也會收到廣泛的報表、通知和針對第3層、第4層和第7層DDoS攻擊的攻擊后分析以及避免與DDoS攻擊相關的意外消費費用。

查看英文原文：Amazon Announces AWS Shield for DDoS Protection