DDoS -attacker (Distributed Denial of Service) sker allt oftare och blir allt större. Med 2,4 terabit per sekund (Tbps) kan DDoS -attacken Microsoft lyckades försvara europeiska Azure -molnanvändare mot den största hittills.
Vad vi vet med säkerhet är att det är den största DDoS -attacken mot en Azure -molnkund. Det var större än den tidigare höga, 2020: s Azure 1 Tbps -attacken, och Microsoft rapporterade att det var “högre än någon nätverksmätningshändelse som tidigare upptäckts på Azure.”
Vem riktades mot? Vi vet inte. Microsoft pratar inte.
Själva attacken kom från över 70 000 källor. Det orkestrerades från flera länder i Asien och Stillahavsområdet som Malaysia, Vietnam, Taiwan, Japan och Kina och från USA.
Attackvektorn var en UDP -reflektion (User Datagram Protocol). Attacken varade i över 10 minuter med mycket kortlivade utbrott. Var och en av dessa skurar steg upp på några sekunder till terabitvolymer. Totalt sett såg Microsoft tre huvudtoppar, den första med 2,4 Tbps, den andra med 0,55 Tbps och den tredje med 1,7 Tbps.
I en UDP -reflektionsattack utnyttjar angriparen det faktum att UDP är ett statslöst protokoll. Det betyder att angriparna kan skapa ett giltigt UDP -förfrågningspaket som anger attackmålets IP -adress som UDP -källens IP -adress. Det ser ut som om attacken reflekteras fram och tillbaka i det lokala nätverket, därav namnet. Detta förlitar sig på att UDP -förfrågningspaketets källinternetprotokoll (IP) förfalskas, dvs. förfalskas. UDP -paketet innehåller den förfalskade käll -IP: n och skickas av angriparen till en mellanhandsserver. Servern luras att skicka sina UDP -svarspaket till den målsatta offrets IP snarare än tillbaka till angriparen. Mellanmaskinen hjälper till att stärka attacken genom att generera nätverkstrafik som är flera gånger större än begäran, och förstärker därmed attacktrafiken.
Hur stor förstärkningen kan bli beror på att attackprotokollet missbrukas. Sådana vanliga internetprotokoll som DNS, NTP, memcachad, CharGen eller QOTD kan alla förvandlas till nätverks -DDoS -attackhundar. Den otäckaste av dessa är memcached. Memcached är ett open-source, högpresterande, distribuerat objekt-caching-system. Det används vanligtvis av sociala nätverk som Facebook och dess skapare LiveJournal som en nyckelvärdesbutik i minnet för små bitar av godtyckliga data. Där är det väldigt användbart. Vid missbruk har dock Cloudflare, webbprestanda och säkerhetsföretag, funnit att 15 byte begäran kan orsaka 750KB attackattrafik- det är en 51 200 x förstärkning! Det är dåligt.
Microsoft säger inte vilket som användes i det här fallet men det nämnde DNS. Attacker som utnyttjar DNS kan producera 28 till 54 gånger det ursprungliga antalet byte. Så om en angripare skickar en begäran nyttolast på 64 byte till en DNS -server kan de generera över 3400 byte oönskad trafik till ett attackmål.
Även om Microsoft inte gick in på detaljer om hur det blockerade attacken, sa företaget att Azure's DDoS -skyddsplattform, byggd på distribuerade DDoS -detekterings- och lindringsrörledningar, kan absorbera tiotals terabiter av DDoS -attacker: “Den här aggregerade, distribuerade begränsningskapaciteten kan massivt skala för att absorbera den högsta mängden DDoS -hot, vilket ger våra kunder det skydd de behöver. “
Generellt fungerar detta genom att Azure DDoS -kontrollplanlogik slår igång när den upptäcker en DDoS -storm som bygger sig upp. “Detta går igenom normala detekteringssteg, som behövs för översvämningar med lägre volym, för att omedelbart sätta igång lindring. Detta säkerställer den snabbaste tiden till minskning och förhindrar säkerhetsskador från så stora attacker.”
Vissa DDoS -skydd tillhandahålls för alla Azure -användare. För ett bättre, mer omfattande skydd rekommenderar Microsoft att du prenumererar på Azure DDoS Protection Standard. Förutom att blockera DDoS -attacker erbjuder den också kostnadsskydd. Detta ger dataöverföring och appskala för servicekrediter för resurskostnader som uppstår på grund av dokumenterade DDoS-attacker.
Relaterade berättelser:
DDoS-attacker blir mer produktiva och fler kraftfulla, varna cybersäkerhetsforskare Bandwidth VD bekräftar avbrott orsakade av DDoS -attackDenna massiva DDoS -attack tog stora delar av ett lands internet offline
Relaterade ämnen:
Cloud Security TV Data Management CXO Data Center 