当Google遇到Amazon 完美的云攻击
CSDN 发表于:12年05月18日 16:53 [转载] CSDN
越来越多的信息保存在像Google、Amazon这样的云服务平台上,这些服务并不总是相互促进而变得更有效率。AWS可 以为你节省成本,但是Panos Ipeirotis讲述了一个悲催的故事,当他收到Amazon的账单后开始冒汗,1000多美元的费用远远超过他充值的金额。原来,Google和 Amazon“联合”上演了这一闹剧:Google文档疯狂的访问Amazon S3服务以及AWS计费统计漏洞和不完善的余额警告系统导致了这一结果。
目前,事件过去半个多月,Amazon终于升级了用户消费警告系统,随后将带来这一报道。就在今天,盛大云用户张永生在微博中抱怨,因为帐号欠费把所有已购买的主机和年付带宽套餐服务全部停掉。看来围绕在用户计费、服务、防范恶意攻击等方面,无论国内还是国外的云服务商都要不断提升服务水平。
Panos Ipeirotis上周查收了AWS的账单,他开始冒汗。居然高达1177.76美元,这远远高过他充值的金额,他发现在过去的每个小时里都额外多支付了50到100美元,他不知道这是怎么回事。
经过一些调查,他找到了原因。非常偶然,他发现了一个新的互联网攻击方式,这个方式基于Google文档服务。他把这叫做无视余额攻击(Denial of Money attack),他表示其他人也可以会受此攻击。
Ipeirotis,一名纽约大学的信息运营专家,他创建了一个不同寻常的电子表格。作为一个如何利用大众外包完成图片信息摘要的实验项目的一部 分,他在Google文档发布了25000张极小的图片,然后他邀请人们来对图片进行描述。问题由此产生了,这些极小的图片的链接访问到位于Amazon 的S3存储服务,显然,Google的服务器有些疯狂。“Google略带侵略性的从Amazon攫取图片,一次,一次,又一次,”他说。
Amazon将用户的账户余额忘的一干二净,而Google则表示:这很有趣!于是,一个新的云攻击方式产生了:无视余额攻击。Ipeirotis 在博客披露了事件,他在博文中写道:他相信Google会解决这一问题。但直到修复完成,任何人依然可以建立一个类似的表格,并产生昂贵悲催的账单。 “Google变身成为一个完美合法的武器,”他写道。
无视余额攻击还会攻击云服务商吗?Google和Amazon如何避免这一攻击再次发生?