AWS 披露防御网络攻击利器 MadPot 细节

亚马逊网络服务公司（Amazon Web Services，缩写为AWS）近日提供了一套内部工具套件的详细信息，该套件在公司内部名为“MadPot”，主要用于检测网络攻击并已经成功阻止数千次的网络攻击。

MadPot 的起源可追溯至 2010 年代末。MadPot利用部署在 AWS 基础设施上的大量传感器收集的情报，可实时监控和分析潜在的威胁互动，以确保网络和客户的安全性和完整性。建立这项服务的目的有两个：发现和监控威胁活动并全力瓦解有可能造成危害的活动，以保护 AWS 客户和其他客户的安全。

据 AWS CISO 办公室主任 Mark Ryland 说，MadPot 已经发展成为一个由监控传感器和自动响应能力组成的复杂系统。据说这些传感器每天能观察到超过 1 亿次潜在的威胁交互和探测，其中约有 50 万次观察到的活动最终发展成可被归类为恶意的行为。

MadPot 对威胁情报数据进行摄取、关联和分析，以提供涉及互联网上发生的潜在有害活动的可行见解。MadPot服务还包括响应功能，可自动保护 AWS 网络免受已识别威胁的影响以及与一些基础设施被用于恶意活动的其他公司进行沟通。

任何服务或工具集好不好是由其结果而定的，而 MadPot 的结果在客观上非常棒。据 Ryland 称，MadPot 在识别和消除无数网络威胁方面发挥了重要作用。

其中的一个例子， MadPot 发现并分析了一个使用特定域发命令和控制指令的分布式拒绝服务僵尸网络。AWS表示，MadPot 勾勒出威胁、确定了服务器使用的 IP 地址并与相关托管实体协调迅速解除了威胁。MadPot 还发现了臭名昭著的“沙虫”威胁组织的活动并及时采取了缓解措施。

MadPot 的另一项成果是识别出“伏特台风”（Volt Typhoon），伏特台风是 5 月份首次出现的据称由某亚洲国家支持的威胁行为者。MadPot通过调查确定了与该组织活动相关的独特特征，为美国政府的网络安全咨询工作提供了帮助。

MadPot 在今年第一季度处理了来自互联网威胁传感器的 55 亿个信号和来自 AWS 主动网络探针的 15 亿个信号，成功阻止了 130 万次由僵尸驱动的分布式拒绝服务攻击。从 MadPot 收集到的数据（包括近 1,000 个指令控制僵尸网络主机）已分享给与相关主机提供商和域名注册商。