Route53 под DDoS атакой
Вчерашние проблемы с разрешением DNS для различных сервисов - S3-бакетов, RDS-эндпоинтов и прочие - продолжились (продолжаются?) и сегодня.
Проблемы многовероятны при создании и обновлении окружений. Особенно это касается S3-бакетов вида
Это недавно как раз описывалось здесь как рекомендация к использованию третьего типа написания бакета, которая могла быть спасительной для тех, кто ею воспользовался. Кто ещё нет - срочно переделайте свои бакеты к "правильному" виду
У кого не получается присоединиться к базе - попробуйте переключиться на гугловые днсы
В общем, если у вас есть возможность отложить обновление и создание критических ресурсов на пару дней - лучше обождать. Если же нет - нужно быть готовым к самым непредсказуемым ситуациям, создание CloudFormation стэков может давать ошибку, системные пакеты не обновляться, базы данных создаваться полчаса и больше, давая таймауты других операций - всего не перечесть. И это ведь ещё не пятница...
#route53 #ddos #s3 #rds
Вчерашние проблемы с разрешением DNS для различных сервисов - S3-бакетов, RDS-эндпоинтов и прочие - продолжились (продолжаются?) и сегодня.
Проблемы многовероятны при создании и обновлении окружений. Особенно это касается S3-бакетов вида
my-bucket.s3.amazonaws.com вне N.Virginia региона, т.к. для разрешения конечного имени делается ещё один DNS запрос.Это недавно как раз описывалось здесь как рекомендация к использованию третьего типа написания бакета, которая могла быть спасительной для тех, кто ею воспользовался. Кто ещё нет - срочно переделайте свои бакеты к "правильному" виду
my-bucket.s3.some-region.amazonaws.com и проблемы (связанные с DNS бакета) уйдут.У кого не получается присоединиться к базе - попробуйте переключиться на гугловые днсы
8.8.8.8 или от CloudFlare 1.1.1.1.В общем, если у вас есть возможность отложить обновление и создание критических ресурсов на пару дней - лучше обождать. Если же нет - нужно быть готовым к самым непредсказуемым ситуациям, создание CloudFormation стэков может давать ошибку, системные пакеты не обновляться, базы данных создаваться полчаса и больше, давая таймауты других операций - всего не перечесть. И это ведь ещё не пятница...
#route53 #ddos #s3 #rds
Amazon Route 53[RESOLVED]
5:44 PM PDT On October 22, 2019, we detected and then mitigated a DDoS (Distributed Denial of Service) attack against Route 53. Due to the way that DNS queries are processed, this attack was first experienced by many other DNS server operators as the queries made their way through DNS resolvers on the internet to Route 53. The attack targeted specific DNS names and paths, notably those used to access the global names for S3 buckets. Because this attack was widely distributed, a small number of ISPs operating affected DNS resolvers implemented mitigation strategies of their own in an attempt to control the traffic. This is causing DNS lookups through these resolvers for a small number of AWS names to fail. We are doing our best to identify and contact these operators, as quickly as possible, and working with them to enhance their mitigations so that they do not cause impact to valid requests. If you are experiencing issues, please contact us so we can work with your operator to help resolve.
https://status.aws.amazon.com
#route53
5:44 PM PDT On October 22, 2019, we detected and then mitigated a DDoS (Distributed Denial of Service) attack against Route 53. Due to the way that DNS queries are processed, this attack was first experienced by many other DNS server operators as the queries made their way through DNS resolvers on the internet to Route 53. The attack targeted specific DNS names and paths, notably those used to access the global names for S3 buckets. Because this attack was widely distributed, a small number of ISPs operating affected DNS resolvers implemented mitigation strategies of their own in an attempt to control the traffic. This is causing DNS lookups through these resolvers for a small number of AWS names to fail. We are doing our best to identify and contact these operators, as quickly as possible, and working with them to enhance their mitigations so that they do not cause impact to valid requests. If you are experiencing issues, please contact us so we can work with your operator to help resolve.
https://status.aws.amazon.com
#route53
DNSSEC на AWS:
https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-configuring-dnssec.html
Для KSK ключа используется ассиметричный KMS-CMK.
Много лет востребованная фича, теперь уже и большинство зон подписано:
http://stats.research.icann.org/dns/tld_report/
#Route53 #compliance
https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-configuring-dnssec.html
Для KSK ключа используется ассиметричный KMS-CMK.
Много лет востребованная фича, теперь уже и большинство зон подписано:
http://stats.research.icann.org/dns/tld_report/
#Route53 #compliance
Amazon
Configuring DNSSEC signing in Amazon Route 53 - Amazon Route 53
Configure DNSSEC signing to let DNS resolvers validate that a DNS response came from Route 53 and has not been tampered with.
Route 53 + new DNS resource record types:
▫️ SVCB (Service Binding)
▫️ HTTPS
▫️ TLSA
▫️ SSHFP (Secure Shell fingerprint)
https://aws.amazon.com/blogs/networking-and-content-delivery/improving-security-and-performance-with-additional-dns-resource-record-types-in-amazon-route-53/
#Route53
▫️ SVCB (Service Binding)
▫️ HTTPS
▫️ TLSA
▫️ SSHFP (Secure Shell fingerprint)
https://aws.amazon.com/blogs/networking-and-content-delivery/improving-security-and-performance-with-additional-dns-resource-record-types-in-amazon-route-53/
#Route53
Amazon
Improving security and performance with additional DNS resource record types in Amazon Route 53 | Amazon Web Services
DNS is a key component of modern computing, a phone book for IP addresses. It is distinct from other protocols in the application stack. Because it is queried early in the request by a client, DNS is well suited to relay application-specific information back…
👍11