博客

保护 Microsoft 应用免受 L7 DDoS 攻击

Jay Kelley 缩略图
杰伊·凱利
2023 年 6 月 29 日发布

我们中的许多人最近在访问一些核心应用时遇到了困难,无论是我们的组织还是我们个人,每天都会在个人生活或工作中使用这些应用程序。 从 6 月初开始,许多人连续几天在访问Microsoft Outlook.com网络门户时都遇到了问题,然后是OneDrive ,最后是Microsoft Azure 门户

一些人猜测,无法访问关键的微软应用可能是由于配置错误造成的。 其他人则认为这可能是一次网络攻击。 微软表示,他们管理和平衡了其重要应用的增加的流量率。 

随后,6 月 16 日星期五,微软安全响应中心 (MSRC) 发布了一篇博客,题为《微软对第 7 层分布式拒绝服务 (DDoS) 攻击的响应》,概述了微软应用中断的根本原因,此次中断始于 6 月 7 日,持续至 6 月 9 日。

该博客证实,微软遭受了第 7 层 (L7) DDoS 攻击,导致暂时无法访问这些服务,其他出版物中提到的这些服务包括 Outlook.com、OneDrive 和 Microsoft Azure Portal

博客文章称,微软“发现某些服务的流量激增,暂时影响了可用性”。 它还提到,微软“立即展开调查并开始跟踪正在进行的 DDoS 活动”。 MSRC 博客解释称,此次攻击是由微软追踪的一个威胁行为者发起,该行为者已被确定为 Storm-1359,又名匿名苏丹。 该博客强调,微软没有发现任何证据表明客户数据被访问或泄露。 DDoS 攻击的目的是扰乱、引起人们对攻击者 Storm-1359(又名)的关注并宣传其行为。 匿名苏丹。

虽然许多 DDoS 攻击的目标是 OSI(开放系统互连)模型的第 3 层(网络层)或第 4 层(传输层),但 L7(应用层)DDoS 攻击则完全是另一回事。 L7 DDoS 攻击比 L3 或 L4 DDoS 攻击更难检测,因为它们往往很复杂、隐蔽,并且与合法的 Web应用流量难以区分。 这些攻击针对应用服务器的特定组件,用请求轰炸它们,直到它们负担过重,无法响应任何流量。 这些攻击也会发生变化,攻击方式频繁变化,并且多次随机变化。 

据微软称,针对其服务的 L7 DDoS 攻击利用了“一组僵尸网络和工具”,使攻击者能够从多个云服务和“开放代理基础设施”发动攻击,依赖于虚拟专用服务器、云环境、开放代理以及购买或获取的 DDoS 工具。

Storm-1359(又名匿名苏丹)对微软发动了三种不同类型的 L7 DDoS 攻击:

  • HTTP(S) 洪水攻击,其中大量请求(包括来自跨地区和源 IP 地址的各种设备的 SSL/TLS 握手和 HTTP(S) 请求)导致 CPU 和内存等系统资源超载,从而导致应用服务器停止处理请求。
  • 缓存旁路通过向攻击者创建和生成的 URL 发起请求来绕过内容分发网络 (CDN),这会指示应用将所有请求转发到原始服务器。
  • Slowloris 利用单一系统启动 Web 服务器连接,并通过无法确认或减慢资源请求的接受速度来强制连接保持打开状态。

微软在博客文章中表示,他们已经“强化了第 7 层保护,包括调整 Azure Webapplication防火墙 (WAF),以更好地保护客户免受 DDoS 攻击”。

微软继续向客户提出了几项建议,以进一步防范 L7(application层)DDoS 攻击,包括:

  • 使用 Azure WAF 或其他 L7 服务保护 Web 应用程序
  • 使用 Azure WAF 或其他服务中的机器人保护来防御恶意机器人
  • 识别恶意 IP 地址和范围并阻止它们
  • 阻止、设置速率限制或重定向来自定义地理区域之外或已识别区域内的流量
  • 利用已知的攻击特征创建自定义 WAF 策略,以自动阻止或限制恶意 HTTP(S) 流量

F5 Web 应用和 API 安全 (WAAP) 已经帮助许多 Microsoft 用户和客户保护 Web应用免受复杂、难以检测的 L7 DDoS 攻击。 F5 WAAP 基于 F5 WAF 引擎及其广受好评的检测和监控功能构建,可实现熟悉的操作。 F5 WAAP 可采用任何必要的交付模式(硬件、SaaS 以及 Microsoft Azure 上的虚拟版软件)和任意组合,部署在托管应用程序的任何地方,共同确保全面防御 L7 DDoS 攻击。

另外还有屡获殊荣的F5 分布式云机器人防御,这是 F5 基于 SaaS 的机器人缓解和防御解决方案,可为全球最大的银行、零售商和航空公司提供保护。 分布式云机器人防御基于其对揭示自动化的设备和行为信号的无与伦比的分析来防御恶意机器人。
 

有关 F5 WAAP 和 DDoS 防护解决方案以及机器人防御的更多信息: