DDoS -angrep (Distributed Denial of Service) skjer stadig oftere og vokser seg stadig større. Med 2,4 terabit per sekund (Tbps) kunne DDoS -angrepet Microsoft nettopp forsvarte europeiske Azure -skybrukere mot. Det kan være det største hittil.
Det vi vet med sikkerhet er at det er det største DDoS -angrepet på en Azure -skykunde. Det var større enn det forrige høye 2020 -Azure 1 Tbps -angrepet i 2020, og Microsoft rapporterte at det var “høyere enn noen nettverksvolumetrisk hendelse som tidligere ble oppdaget på Azure.”
Hvem ble målrettet? Vi vet ikke. Microsoft snakker ikke.
Selve angrepet kom fra over 70 000 kilder. Det ble orkestrert fra flere Asia-Stillehavsland som Malaysia, Vietnam, Taiwan, Japan og Kina og fra USA.
Angrepsvektoren var et UDP -refleksjonsangrep (User Datagram Protocol). Angrepet varte i over 10 minutter med svært kortvarige utbrudd. Hver av disse utbruddene økte på sekunder til terabit -volumer. Totalt sett Microsoft tre hovedtopper, den første på 2,4 Tbps, den andre på 0,55 Tbps, og den tredje på 1,7 Tbps.
I et UDP -refleksjonsangrep utnytter angriperen det faktum at UDP er en statsløs protokoll. Det betyr at angriperne kan opprette en gyldig UDP -forespørselspakke som angir angrepsmålets IP -adresse som UDP -kilde -IP -adressen. Det ser ut som om angrepet gjenspeiles frem og tilbake i det lokale nettverket, derav navnet. Dette er avhengig av at UDP -forespørselspakkens kilde Internett -protokoll (IP) blir forfalsket, dvs. forfalsket. UDP -pakken inneholder den forfalskede kilde -IP -en og blir sendt av angriperen til en mellommann -server. Serveren blir lurt til å sende sine UDP -responspakker til den målrettede offerets IP i stedet for tilbake til angriperen. Mellommannsmaskinen bidrar til å styrke angrepet ved å generere nettverkstrafikk som er flere ganger større enn forespørselspakken, og forsterker dermed angrepstrafikken.
Hvor stor forsterkningen kan bli, avhenger av at angrepsprotokollen blir misbrukt. Slike vanlige internettprotokoller som DNS, NTP, memcached, CharGen eller QOTD kan alle gjøres til nettverks -DDoS -angrepshunder. Den styggeste av disse er memcached. Memcached er et åpen kildekode, høytytende, distribuert objekt-caching-system. Det brukes ofte av sosiale nettverk som Facebook og skaperen LiveJournal som en butikk i nøkkelen for minne for små biter av vilkårlige data. Der er det veldig nyttig. Men når Cloudflare ble misbrukt, har nettytelsen og sikkerhetsselskapet funnet at 15 byte med forespørsel kan forårsake 750 KB angrepstrafikk- det er en 51 200 x forsterkning! Det er ille.
Microsoft sier ikke hvilken som ble brukt i dette tilfellet, men det nevnte DNS. Angrep som utnytter DNS kan produsere 28 til 54 ganger det opprinnelige antallet byte. Så hvis en angriper sender en forespørsel nyttelast på 64 byte til en DNS -server, kan de generere over 3400 byte uønsket trafikk til et angrepsmål.
Selv om Microsoft heller ikke gikk i detalj om hvordan det blokkerte angrepet, sa selskapet at Azures DDoS -beskyttelsesplattform, bygget på distribuerte DDoS -deteksjons- og avbøtingsrørledninger, kan absorbere titalls terabiter av DDoS -angrep: “Denne aggregerte, distribuerte begrensningskapasiteten kan massivt skalere for å absorbere det høyeste volumet av DDoS -trusler, noe som gir våre kunder den beskyttelsen de trenger. “
Generelt fungerer dette ved at Azures DDoS -kontrollplanlogikk slår inn når det oppdager en DDoS -storm som bygger seg opp. “Dette kutter gjennom vanlige deteksjonstrinn, som er nødvendig for flom med lavere volum, for umiddelbart å redusere oppstart. Dette sikrer den raskeste tiden til å redusere og forhindrer sikkerhetsskader fra så store angrep.”
Noe DDoS -beskyttelse er gitt for alle Azure -brukere. For bedre og mer omfattende beskyttelse anbefaler Microsoft deg å abonnere på Azure DDoS Protection Standard. I tillegg til å blokkere DDoS -angrep, tilbyr den også kostnadsbeskyttelse. Dette gir dataoverføring og appskala for tjenestekreditt for ressurskostnader som påløper på grunn av dokumenterte DDoS-angrep.
Relaterte historier:
DDoS-angrep blir mer produktive og flere kraftige, advarte cybersikkerhetsforskere Bandwidth CEO bekrefter avbrudd forårsaket av DDoS -angrep Dette massive DDoS -angrepet tok store deler av et lands internett offline
Relaterte emner:
Cloud Security TV Data Management CXO Data Centers 
Av Steven J. Vaughan-Nichols for nettverk | 12. oktober 2021 | Tema: Sikkerhet