AWS Shield今年第一季挡下2.3 Tbps的DDoS攻击

Amazon Web Services（AWS）近日公布了旗下DDoS防护服务AWS Shield在今年第一季的威胁报告，指出该服务在第一季挡下了流量高达2.3 Tbps的DDoS攻击，而这是前所未见的。

根据AWS Shield的统计，今年第一季他们缓解了超过31万次的分布式拒绝服务（DDoS）攻击，比去年同期增加了22.8%，比上一季增加10%，不只是攻击次数增加了，攻击流量也增加了，去年同期最大的攻击流量为0.8 Tbps，上一季为0.6 Tbps，但今年第一季却出现2.3 Tbps的攻击流量。

AWS Shield指出，流量庞大的DDoS攻击通常源自UDP（User Datagram Protocol，用户资料包协议）反射攻击，包括dns反射、NTP反射，或SSDP反射等，它们全都利用了网络上不需要执行握手验证的大量UDP，针对受害系统发送封包，进而造成受害系统超载而无法运行。

而他们在第一季所缓解的庞大攻击，则是属于CLDAP（Connection-less Lightweight Directory Access Protocol）反射放大攻击，利用UDP port 389发送请求，由于回应的封包通常大于请求封包，差异可能达到50倍，因而形成放大效果，企图瘫痪受害系统。

AWS Shield表示，2.3 Tbps的攻击流量出现在今年2月，比AWS上曾经见过的最大攻击流量还多了44%，而且维系了3天。

这很可能缔造了全球DDoS攻击流量的新记录，同为DDoS防御服务供应商的Netscout Arbor在2018年3月，曾经挡下流量达1.7Tbps的反射放大攻击，在此之前的记录保持人则是Github，该平台在2018年的2月遭到1.3Tbps流量的DDoS攻击。

不过，庞大流量的DDoS攻击毕竟还是少数，AWS Shield的统计显示，该季第99个百分位数攻击事件的流量只有43 Gbps。