Amazon DDoS't eigen klanten door cloud-fout

De oorzaak zit in dynamische load-balancers die Amazon inzet voor cloud-klanten die flinke wisselingen in verkeer en serverbelasting hebben. Bij pieken zetten de Amazon Web Services (AWS) automatisch meer capaciteit in voor de Elastic Load Balancer-dienst (ELB). Dat gebeurt dan met meer ip-adressen, die eerst dienst deden om verkeer door te voeren naar andere klanten.

Cachingprobleem

Amazon wijst bewust een korte 'levensduur' (TTL) toe aan de koppeling van domeinnamen aan die ip-adressen, maar die maatregel is niet altijd afdoende. Websitebezoekers, isp's, DNS-servers en applicaties die ip-adressen tijdelijk opslaan in de cache kunnen dan verkeerd terecht komen. Het dataverkeer van die partijen, die zich dus niet houden aan de TTL, overspoelt dan de verkeerde Amazon-gebruiker.

Een cloudklant van de Amerikaanse aanbieder is vorige week bestookt met api-verkeer (application program interface) voor filmstreamingdienst Netflix. Die 'DDoS-aanval' heeft vier dagen geduurd, meldt tech- en mediablog The Buzz Media. De gedupeerde gebruiker meldt op het Amazon-forum dat de getroffen server hiermee 30 procent extra belasting kreeg bovenop de dagelijkse load.

Man-in-the-middle aanval

Op Amazons supportfora zijn meer meldingen van dit soort 'DDoS-aanvallen'. Naast het probleem van de ongewenste en ook onbedoelde belasting is er nog het probleem van kosten; voor bandbreedte en servercapaciteit. Getroffen klanten krijgen daar wel de rekening voor gepresenteerd.

The Buzz Media legt een deel van de verantwoordelijkheid neer bij de cloud-klanten. Die hebben hun infrastructuurontwerp niet goed op orde. Dit kan ook een beveiligingsrisico zijn. Niet zozeer een gevaar voor inbraak op websites of systemen, maar wel een risico voor het lekken van gebruikersgegevens en -sessies. Het techblog heeft eerder al gewaarschuwd voor die Amazon-vorm van een man-in-the-middle aanval.