Распределенные атаки типа “Отказ в обслуживании” (DDoS) происходят все чаще и становятся все более масштабными. При скорости 2,4 терабит в секунду DDoS-атака, от которой Microsoft только что успешно защитила европейских пользователей облачных сервисов Azure, может стать крупнейшей на сегодняшний день.
Что мы знаем наверняка, так это то, что это самая крупная DDoS – атака на облачный клиент сервер Azure. Была мощнее, чем предыдущая мощная атака Azure на 1 Тбит / с в 2020 году, и Microsoft сообщила, что она была “Мощнее, чем любая другая атака, ранее обнаруженное в Azure”.
Кто был мишенью? Нам не известно. Microsoft молчит.
Сама атака исходила из более чем от 70 000 источников. Она был организована из нескольких стран Азиатско-Тихоокеанского региона, таких как Малайзия, Вьетнам, Тайвань, Япония и Китай, а также из Соединенных Штатов.
Вектор атаки представлял собой атаку с отражением протокола пользовательских дейтаграмм (UDP). Атака длилась более 10 минут очень короткими очередями. Каждый из этих всплесков за считанные секунды увеличивался до объемов конвертируемых в терабит. В общей сложности Microsoft зафиксировала три основных пика: первый-2,4 Тбит / с, второй-0,55 Тбит / с и третий-1,7 Тбит / с.
В атаке с отражением UDP злоумышленник использует тот факт, что UDP является протоколом stateless. Это означает, что злоумышленники могут создать действительный пакет запроса UDP с указанием IP-адреса цели атаки в качестве IP-адреса источника UDP. Похоже, что атака отражается взад и вперед в локальной сети, отсюда и название. Это зависит от того, что исходный интернет-протокол (IP) пакета запроса UDP подделан, то есть фальсифицирован. UDP-пакет содержит поддельный исходный IP-адрес и отправляется злоумышленником на сервер-посредник. Сервер обманом отправляет свои пакеты ответов UDP на IP-адрес целевой жертвы, а не обратно злоумышленнику. Посредническая машина помогает усилить атаку, генерируя сетевой трафик, который в несколько раз больше, чем пакет запроса, тем самым усиливая атакующий трафик.
Насколько большим может быть усиление, зависит от того, каким протоколом атаки злоупотребляют. Такие распространенные интернет-протоколы, как DNS, NTP, memcached, CharGen или QOTD, могут быть превращены в собак для сетевых DDoS-атак. Самый отвратительный из них-memcached. Memcached-это высокопроизводительная распределенная система кэширования объектов с открытым исходным кодом. Он обычно используется социальными сетями, такими как Facebook и его создатель LiveJournal, в качестве хранилища ключевых значений в памяти для небольших фрагментов произвольных данных. Однако при злоупотреблении Cloudflare, компания по веб-производительности и безопасности, обнаружила, что 15 байт запроса могут вызвать 750 КБ трафика атаки-это увеличение в 51 200 раз!
Microsoft не говорит, что использовалось в данном случае, но компания упомянула DNS атаки, использующие DNS, могут привести к увеличению исходного количества байтов в 28-54 раза. Таким образом, если злоумышленник отправляет полезную нагрузку запроса в 64 байта на DNS-сервер, он может генерировать более 3400 байт нежелательного трафика для цели атаки.
Хотя Microsoft также не вдавалась в подробности о том, как она заблокировала атаку, компания заявила, что платформа защиты от DDoS-атак Azure, построенная на распределенных каналах обнаружения и смягчения последствий DDoS-атак, может поглощать десятки терабит DDoS-атак: “Эта совокупная распределенная способность по смягчению последствий может масштабироваться для поглощения наибольшего объема угроз DDoS, обеспечивая нашим клиентам необходимую защиту”.
Вообще говоря, это работает благодаря логике плоскости управления DDoS Azure, включающейся при обнаружении нарастающего DDoS-шторма. “Это сокращает обычные этапы обнаружения, необходимые для наводнений с меньшим объемом, чтобы немедленно начать смягчение последствий. Это обеспечивает самое быстрое время для смягчения последствий и предотвращает сопутствующий ущерб от таких крупных атак”.
Для всех пользователей Azure предусмотрена некоторая защита от DDoS-атак. Для лучшей и более комплексной защиты корпорация Майкрософт рекомендует вам подписаться на стандарт защиты от DDoS-атак Azure. Помимо блокировки DDoS-атак, он также обеспечивает защиту от затрат. Это обеспечивает передачу данных и кредит на обслуживание масштабирования приложений для покрытия затрат на ресурсы, понесенных в результате документированных DDoS-атак.