DDoS -angreb (Distributed Denial of Service) sker stadig oftere og vokser sig stadig større. Med 2,4 terabit i sekundet (Tbps) kunne DDoS -angrebet, Microsoft netop forsvarede europæiske Azure -cloud -brugere mod, være den største til dato.
Det, vi ved med sikkerhed, er, at det er det største DDoS -angreb på en Azure cloud -kunde. Det var større end det tidligere høje 2020 -Azure 1 Tbps -angreb i 2020, og Microsoft rapporterede, at det var “højere end nogen netværksvolumetrisk begivenhed, der tidligere blev opdaget på Azure.”
Hvem blev målrettet? Vi ved det ikke. Microsoft taler ikke.
Selve angrebet kom fra over 70.000 kilder. Det blev orkestreret fra flere lande i Asien og Stillehavsområdet som Malaysia, Vietnam, Taiwan, Japan og Kina og fra USA.
Angrebsvektoren var et UDP -refleksionsangreb (User Datagram Protocol). Angrebet varede over 10 minutter med meget kortvarige udbrud. Hver af disse bursts steg op på sekunder til terabit -mængder. I alt så Microsoft tre hovedtoppe, de første ved 2,4 Tbps, den anden med 0,55 Tbps og den tredje med 1,7 Tbps.
I et UDP -refleksionsangreb udnytter angriberen det faktum, at UDP er en statsløs protokol. Det betyder, at angriberne kan oprette en gyldig UDP -anmodningspakke, der angiver angrebsmålets IP -adresse som UDP -kilde -IP -adresse. Det ser ud som om angrebet reflekteres frem og tilbage i det lokale netværk, deraf navnet. Dette er afhængigt af, at UDP -anmodningspakkens kilde Internet Protocol (IP) bliver forfalsket, dvs. forfalsket. UDP -pakken indeholder den forfalskede kilde -IP og sendes af angriberen til en mellemmannsserver. Serveren bliver narret til at sende sine UDP -responspakker til den målrettede offer -IP frem for tilbage til angriberen. Mellemmandsmaskinen hjælper med at styrke angrebet ved at generere netværkstrafik, der er flere gange større end anmodningspakken, og forstærker dermed angrebstrafikken.
Hvor stor forstærkningen kan blive afhænger af, at angrebsprotokollen misbruges. Sådanne fælles internetprotokoller som DNS, NTP, memcached, CharGen eller QOTD kan alle omdannes til netværks -DDoS -angrebshunde. Den mest ubehagelige af disse er memcached. Memcached er et open-source, højtydende, distribueret objekt-caching-system. Det bruges almindeligvis af sociale netværk som Facebook og dets skaber LiveJournal som en nøgleværdi i hukommelsen til små bidder af vilkårlige data. Der er det meget nyttigt. Ved misbrug har Cloudflare, webpræstations- og sikkerhedsfirmaet imidlertid fundet 15 bytes anmodning kan forårsage 750KB angrebstrafik- det er en 51.200 x forstærkning! Det er slemt.
Microsoft siger ikke, hvilken der blev brugt i dette tilfælde, men det nævnte DNS. Angreb, der udnytter DNS, kan producere 28 til 54 gange det oprindelige antal bytes. Så hvis en angriber sender en anmodning nyttelast på 64 bytes til en DNS -server, kan de generere over 3.400 bytes uønsket trafik til et angrebsmål.
Selvom Microsoft heller ikke gik i detaljer om, hvordan det blokerede angrebet, sagde virksomheden, at Azures DDoS -beskyttelsesplatform, der er bygget på distribuerede DDoS -detekterings- og afbødningsrørledninger, kan absorbere snesevis af terabits af DDoS -angreb: “Denne samlede, distribuerede afbødningskapacitet kan massivt skalere for at absorbere den største mængde DDoS -trusler, hvilket giver vores kunder den beskyttelse, de har brug for. “
Generelt fungerer dette ved, at Azures DDoS -kontrolplanlogik sparker i gang, når det registrerer en DDoS -storm, der bygger op. “Dette skærer igennem normale detektionstrin, der er nødvendige for oversvømmelser med lavere volumen, for øjeblikkeligt at starte ind. Dette sikrer den hurtigste tid til at reducere og forhindrer sikkerhedsskader ved så store angreb.”
Der tilbydes noget DDoS -beskyttelse til alle Azure -brugere. For bedre og mere omfattende beskyttelse anbefaler Microsoft, at du abonnerer på Azure DDoS Protection Standard. Udover at blokere DDoS -angreb, tilbyder den også omkostningsbeskyttelse. Dette giver dataoverførsel og appskala-servicekredit til ressourceomkostninger på grund af dokumenterede DDoS-angreb.
Relaterede historier:
DDoS-angreb bliver mere produktive og mere kraftfulde, advarede cybersikkerhedsforskere Bandwidth CEO bekræfter afbrydelser forårsaget af DDoS -angreb Dette massive DDoS -angreb tog store dele af et lands internet offline
Relaterede emner:
Cloud Security TV Data Management CXO Data Centers 
Af Steven J. Vaughan-Nichols for netværk | 12. oktober 2021 | Emne: Sikkerhed