Connect with us

Deutsch

Microsoft Azure wehrt riesige DDoS-Angriffe ab

Published

on

Distributed Denial of Service (DDoS)-Angriffe kommen immer häufiger vor und werden immer größer. Mit 2,4 Terabit pro Sekunde (Tbps) könnte der DDoS-Angriff, gegen den Microsoft gerade europäische Azure-Cloud-Benutzer erfolgreich verteidigte, der bisher größte sein.

Was wir mit Sicherheit wissen, ist, dass es sich um den größten DDoS-Angriff auf einen Azure-Cloud-Kunden handelt. Es war größer als das vorherige Hoch, der Azure 1-Tbit/s-Angriff im Jahr 2020, und Microsoft berichtete, dass es „höher war als jedes zuvor in Azure erkannte volumetrische Netzwerkereignis“.

Wer wurde ins Visier genommen? Wir wissen es nicht. Microsoft spricht nicht.

Der Angriff selbst kam aus über 70.000 Quellen. Es wurde aus mehreren asiatisch-pazifischen Ländern wie Malaysia, Vietnam, Taiwan, Japan und China sowie aus den Vereinigten Staaten orchestriert.

Der Angriffsvektor war ein User Datagram Protocol (UDP) Reflection-Angriff. Der Angriff dauerte über 10 Minuten mit sehr kurzlebigen Ausbrüchen. Jeder dieser Bursts stieg innerhalb von Sekunden auf Terabit-Volumen an. Insgesamt verzeichnete Microsoft drei Hauptspitzen, den ersten bei 2,4 Tbit/s, den zweiten bei 0,55 Tbit/s und den dritten bei 1,7 Tbit/s.

Bei einem UDP-Reflection-Angriff nutzt der Angreifer die Tatsache aus, dass UDP ein zustandsloses Protokoll ist. Das bedeutet, dass die Angreifer ein gültiges UDP-Anfragepaket erstellen können, das die IP-Adresse des Angriffsziels als UDP-Quell-IP-Adresse auflistet. Es sieht so aus, als würde der Angriff im lokalen Netzwerk hin und her reflektiert, daher der Name. Dies beruht darauf, dass das Quell-Internet Protocol (IP) des UDP-Anforderungspakets gefälscht, dh gefälscht wird. Das UDP-Paket enthält die gefälschte Quell-IP und wird vom Angreifer an einen Mittelsmann-Server gesendet. Der Server wird dazu verleitet, seine UDP-Antwortpakete an die Ziel-IP des Opfers zu senden und nicht zurück an den Angreifer. Der Mittelsmann-Rechner hilft, den Angriff zu verstärken, indem er Netzwerkverkehr generiert, der ein Vielfaches des Anforderungspakets beträgt, wodurch der Angriffsverkehr verstärkt wird.

Wie groß die Verstärkung werden kann, hängt vom missbrauchten Angriffsprotokoll ab. Gängige Internetprotokolle wie DNS, NTP, Memcached, CharGen oder QOTD können alle in Netzwerk-DDoS-Angriffshunde verwandelt werden. Die schlimmste davon ist Memcache. Memcached ist ein Open-Source-Hochleistungs-, verteiltes Objekt-Caching-System. Es wird häufig von sozialen Netzwerken wie Facebook und seinem Schöpfer LiveJournal als In-Memory-Schlüsselwertspeicher für kleine Blöcke beliebiger Daten verwendet. Da ist es sehr nützlich. Bei Missbrauch hat Cloudflare, das Web-Performance- und Sicherheitsunternehmen, jedoch festgestellt, dass 15 Bytes Anfragen 750 KB Angriffsverkehr verursachen können – das ist eine 51.200-fache Verstärkung! Das ist schlecht.

Microsoft sagt nicht, welches in diesem Fall verwendet wurde, aber es hat DNS erwähnt. Angriffe, die DNS ausnutzen, können das 28- bis 54-fache der ursprünglichen Anzahl von Bytes erzeugen. Wenn ein Angreifer also eine Anfragenutzlast von 64 Byte an einen DNS-Server sendet, kann er über 3.400 Byte unerwünschten Datenverkehr zu einem Angriffsziel generieren.

Obwohl Microsoft auch nicht ins Detail ging, wie es den Angriff blockierte, sagte das Unternehmen, dass die DDoS-Schutzplattform von Azure, die auf verteilten DDoS-Erkennungs- und Abwehr-Pipelines basiert, Dutzende von Terabit von DDoS-Angriffen absorbieren kann: „Diese aggregierte, verteilte Abwehrkapazität kann massiv skalieren, um das größte Volumen an DDoS-Bedrohungen zu absorbieren und unseren Kunden den Schutz zu bieten, den sie benötigen.”

Im Allgemeinen funktioniert dies, indem die Logik der DDoS-Steuerungsebene von Azure aktiviert wird, wenn ein sich aufbauender DDoS-Sturm erkannt wird. „Dadurch werden die normalen Erkennungsschritte, die für Überschwemmungen mit geringerem Volumen erforderlich sind, durchbrochen, um sofort die Abwehr einzuleiten. Dies gewährleistet die kürzeste Zeit bis zur Abwehr und verhindert Kollateralschäden durch so große Angriffe.“

Für alle Benutzer von Azure wird ein gewisser DDoS-Schutz bereitgestellt. Für einen besseren und umfassenderen Schutz empfiehlt Microsoft, Azure DDoS Protection Standard zu abonnieren. Neben der Abwehr von DDoS-Angriffen bietet es auch Kostenschutz. Dadurch werden die Ressourcenkosten, die aufgrund von dokumentierten DDoS-Angriffen anfallen, gutgeschrieben.

Ähnliche Beiträge:

Continue Reading

Copyright © 2021 Meta Mag Inc.