Distributed Denial of Service (DDoS)-aanvallen komen steeds vaker voor en worden steeds groter. Met 2,4 terabit per seconde (Tbps) zou de DDoS-aanval waar Microsoft zojuist met succes Europese Azure-cloudgebruikers tegen heeft verdedigd, wel eens de grootste tot nu toe kunnen zijn.
Wat we zeker weten, is dat het de grootste DDoS-aanval is op een Azure-cloudklant. Het was groter dan het vorige hoogtepunt, de Azure 1 Tbps-aanval van 2020, en Microsoft meldde dat het “hoger was dan alle netwerkvolumetrische gebeurtenissen die eerder op Azure waren gedetecteerd”.
Wie was het doelwit? Wij weten het niet. Microsoft praat niet.
De aanval zelf kwam van meer dan 70.000 bronnen. Het werd georkestreerd vanuit meerdere Azië-Pacific landen zoals Maleisië, Vietnam, Taiwan, Japan en China, en uit de Verenigde Staten.
De aanvalsvector was een User Datagram Protocol (UDP) reflectieaanval. De aanval duurde meer dan 10 minuten met zeer kortstondige uitbarstingen. Elk van deze bursts nam in seconden toe tot terabit-volumes. In totaal zag Microsoft drie hoofdpieken, de eerste op 2,4 Tbps, de tweede op 0,55 Tbps en de derde op 1,7 Tbps.
Bij een UDP-reflectieaanval maakt de aanvaller misbruik van het feit dat UDP een staatloos protocol is. Dat betekent dat de aanvallers een geldig UDP-verzoekpakket kunnen maken met het IP-adres van het aanvalsdoel als het IP-adres van de UDP-bron. Het lijkt alsof de aanval heen en weer wordt gereflecteerd binnen het lokale netwerk, vandaar de naam. Dit is afhankelijk van het feit dat het bron-Internet Protocol (IP) van het UDP-verzoekpakket wordt vervalst, d.w.z. vervalst. Het UDP-pakket bevat het vervalste bron-IP en wordt door de aanvaller naar een tussenpersoonserver gestuurd. De server wordt misleid om zijn UDP-antwoordpakketten naar het IP-adres van het beoogde slachtoffer te sturen in plaats van terug naar de aanvaller. De tussenpersoon helpt de aanval te versterken door netwerkverkeer te genereren dat meerdere keren groter is dan het verzoekpakket, waardoor het aanvalsverkeer wordt versterkt.
Hoe groot de versterking kan worden, hangt af van het aanvalsprotocol dat wordt misbruikt. Dergelijke algemene internetprotocollen zoals DNS, NTP, memcached, CharGen of QOTD kunnen allemaal worden omgezet in netwerk-DDoS-aanvalshonden. De smerigste hiervan is memcached. Memcached is een open-source, high-performance, gedistribueerd object-caching systeem. Het wordt vaak gebruikt door sociale netwerken zoals Facebook en zijn maker LiveJournal als een in-memory key-value store voor kleine stukjes willekeurige gegevens. Daar is het erg handig. Bij misbruik heeft Cloudflare, het bedrijf voor webprestaties en -beveiliging, echter ontdekt dat 15 bytes aan verzoeken 750 KB aan aanvalsverkeer kunnen veroorzaken – dat is een versterking van 51.200x! Dat is slecht.
Microsoft zegt niet welke in dit geval is gebruikt, maar het vermeldde wel DNS. Aanvallen die gebruikmaken van DNS kunnen 28 tot 54 keer het oorspronkelijke aantal bytes produceren. Dus als een aanvaller een verzoeklading van 64 bytes naar een DNS-server stuurt, kan hij meer dan 3.400 bytes aan ongewenst verkeer genereren naar een aanvalsdoelwit.
Hoewel Microsoft ook niet in detail ging over hoe het de aanval blokkeerde, zei het bedrijf dat het DDoS-beveiligingsplatform van Azure, gebouwd op gedistribueerde DDoS-detectie- en mitigatiepijplijnen, tientallen terabits aan DDoS-aanvallen kan absorberen: “Deze geaggregeerde, gedistribueerde mitigatiecapaciteit kan massaal opschalen om het grootste aantal DDoS-bedreigingen op te vangen en onze klanten de bescherming te bieden die ze nodig hebben.”
Over het algemeen werkt dit door Azure's DDoS-besturingsvlaklogica die in werking treedt wanneer een DDoS-storm wordt gedetecteerd. “Hiermee worden de normale detectiestappen, die nodig zijn voor overstromingen met een lager volume, doorbroken om onmiddellijk tot mitigatie te komen. Dit zorgt voor de snelste time-to-mitigatie en voorkomt bijkomende schade door dergelijke grote aanvallen.”
Er wordt enige DDoS-beveiliging geboden voor alle gebruikers van Azure. Voor een betere, uitgebreidere bescherming raadt micro soft aan dat u zich abonneert op Azure DDoS Protection Standard. Naast het blokkeren van DDoS-aanvallen, biedt het ook kostenbescherming. Dit biedt krediet voor gegevensoverdracht en uitschaling van applicaties voor resourcekosten die zijn gemaakt als gevolg van gedocumenteerde DDoS-aanvallen.
Verwante verhalen:
DDoS-aanvallen worden steeds productiever en heviger krachtige, waarschuwende cybersecurity-onderzoekers Bandbreedte CEO bevestigt uitval veroorzaakt door DDoS-aanval Deze massale DDoS-aanval heeft grote delen van het internet van een land offline gehaald
Verwante onderwerpen:
Cloud Security TV Data Management CXO Datacenters 