DDoS Amazon

Gepubliceerd op 30 oktober 2019 om 16:44

Amazon zegt niets over de DDoS-aanval die AWS heeft neergehaald, maar anderen wel

AWS werd vorige week het slachtoffer van een DDoS-aanval die onder andere S3 ontoegankelijk maakte voor sommige gebruikers. In principe kan de cloudprovider zo'n aanval eenvoudig mitigeren, maar volgens analysebureau Catchpoint zorgde onbetrouwbare monitoring ervoor dat AWS aanvankelijk geen problemen zag.
AWS staat voor Amazon Web Services. De aanval had betrekking op specifieke domeinnamen, waarbij de DDoS-aanval het DNS overspoelde met nepverkeer. Als gevolg hiervan konden legitieme gebruikers geen toegang krijgen.

Het probleem is volgens Catchpoint dat AWS enkel kijkt naar de performantie van zijn diensten. S3 draaide perfect en werd niet overspoeld door verbindingsaanvragen, dus er gingen geen alarmbellen af. In tussentijd werd de weg hoger in de pipeline versperd door de DNS-aanval, maar dat was niet voelbaar bij AWS zelf. Catchpoint maakt zich sterk dat het om 6u30 lokale tijd de eerste indicaties voor de DDoS-aanval opmerkte. AWS zelf plaatst de aanval tussen 10u30 en 18u30 lokale tijd. Er is met andere woorden een discrepantie van maar liefst vijf uur tussen de eerste indicaties van een aanval en de start van de mitigatie van AWS.

Catchpoint zegt dat het probleem is dat Amazon - en vele andere organisaties - een "oude" manier gebruiken om te meten wat er aan de hand is. Ze houden hun eigen systemen in de gaten in plaats van de impact op de gebruikers.

Anders monitoren

Catchpoint verkoopt natuurlijk monitoringdiensten wat de claim in een commercieel daglicht plaatst. De dienstverlener deelde desalniettemin een rapport dat de analyse onderbouwt. Het probleem is dat monitoring van de eigen diensten moet gebeuren van waar de klant zit, en niet vanuit de eigen systemen. De enige manier om echt zeker te zijn van uptime voor de klant is om de hele verbinding van klant tot server in het oog te houden.

AWS communiceerde zelf nog niet over verdere details van de aanval. We vroegen de provider naar aanleiding van de analyse van Catchpoint naar een reactie in verband met de late detectie en zullen dit artikel updaten indien er een reactie komt.

Bron: techzine, theregister

Schrijver: Theo de Leeuw

« Vorige Eerste helft van 2019 gekenmerkt door grotere en complexere DDoS-aanvallen DDoS-aanvallen verdubbelen bijna in kwartaal 4 2019 in vergelijking met vorig jaar Volgende »

Reactie plaatsen

Reacties

Er zijn geen reacties geplaatst.