微软应对第7层分布式拒绝服务(DDoS)攻击
摘要
2023年6月初,微软发现针对某些服务的流量激增,暂时影响了可用性。微软迅速展开调查,并开始追踪被标记为Storm-1359的威胁行为者进行的持续DDoS活动。这些攻击可能依赖于多个虚拟私有服务器(VPS)、租用的云基础设施、开放代理和DDoS工具的组合。微软未发现客户数据被访问或泄露的证据。此次DDoS活动针对第7层而非第3或第4层,微软加强了第7层防护,包括调整Azure Web应用程序防火墙(WAF)以更好地保护客户免受类似攻击的影响。
技术细节
微软评估认为,Storm-1359拥有多个僵尸网络和工具,使其能够从多个云服务和开放代理基础设施发起DDoS攻击。Storm-1359似乎专注于破坏和宣传。
Storm-1359被观察到发起以下几种类型的第7层DDoS攻击流量:
- HTTP(S)洪水攻击:该攻击旨在通过高负载的SSL/TLS握手和HTTP(S)请求处理耗尽系统资源。攻击者发送大量(数百万)分布在全球不同源IP的HTTP(S)请求,导致应用程序后端耗尽计算资源(CPU和内存)。
- 缓存绕过:该攻击试图绕过CDN层,可能导致源服务器过载。攻击者发送一系列针对生成URL的查询,强制前端层将所有请求转发到源服务器,而不是从缓存内容提供服务。
- Slowloris:该攻击中,客户端打开与Web服务器的连接,请求资源(例如图像),然后不确认下载(或缓慢接受)。这迫使Web服务器保持连接打开,并将请求的资源保留在内存中。
建议 – 第7层DDoS防护提示
微软建议客户审查以下缓解措施,以减少第7层DDoS攻击的影响:
- 使用第7层防护服务,如Azure Web应用程序防火墙(WAF)(可通过Azure Front Door、Azure应用程序网关使用)来保护Web应用程序。
- 如果使用Azure WAF:
- 使用机器人保护托管规则集来防护已知恶意机器人。更多信息,请参见配置机器人保护。
- 阻止您识别为恶意的IP地址和范围。更多信息,请参见创建和使用自定义规则中的示例。
- 阻止、速率限制或重定向到静态网页的流量,如果它来自定义的地理区域之外或之内。更多信息,请参见创建和使用自定义规则中的示例。
- 创建自定义WAF规则,以自动阻止和速率限制具有已知签名的HTTP或HTTPS攻击。