AWS Shield今年第一季擋下2.3 Tbps的DDoS攻擊

Amazon Web Services（AWS）近日公布了旗下DDoS防護服務AWS Shield在今年第一季的威脅報告，指出該服務在第一季擋下了流量高達2.3 Tbps的DDoS攻擊，而這是前所未見的。

根據AWS Shield的統計，今年第一季他們緩解了逾31萬次的分散式阻斷服務（DDoS）攻擊，比去年同期增加了22.8%，比上一季增加10%，不只是攻擊次數增加了，攻擊流量也增加了，去年同期最大的攻擊流量為0.8 Tbps，上一季為0.6 Tbps，但今年第一季卻出現2.3 Tbps的攻擊流量。

AWS Shield指出，流量龐大的DDoS攻擊通常源自UDP（User Datagram Protocol ，用戶資料包協定）反射攻擊，包括DNS反射、NTP反射，或SSDP反射等，它們全都利用了網路上不需要執行握手驗證的大量UDP，針對受害系統傳送封包，進而造成受害系統超載而無法運作。

而他們在第一季所緩解的龐大攻擊，則是屬於CLDAP（Connection-less Lightweight Directory Access Protocol）反射放大攻擊，利用UDP port 389傳送請求，由於回應的封包通常大於請求封包，差異可能達到50倍，因而形成放大效果，企圖癱瘓受害系統。

AWS Shield表示，2.3 Tbps的攻擊流量出現在今年2月，比AWS上曾經見過的最大攻擊流量還多了44%，而且維繫了3天。

這很可能締造了全球DDoS攻擊流量的新紀錄，同為DDoS防禦服務供應商的Netscout Arbor在2018年3月，曾經擋下流量達1.7Tbps的反射放大攻擊，在此之前的紀錄保持人則是Github，該平台在2018年的2月遭到1.3Tbps流量的DDoS攻擊。

不過，龐大流量的DDoS攻擊畢竟還是少數，AWS Shield的統計顯示，該季第99個百分位數攻擊事件的流量只有43 Gbps。