Azure 网络高级项目经理

这篇博文由项目经理 Alethea Toh 和 Azure 网络首席网络工程师 Syed Pasha 共同撰写。

8 月初,我们分享了Azure 2021 年上半年的分布式拒绝服务 (DDoS) 攻击趋势。我们报告说,与 2020 年第四季度相比,攻击次数增加了 25%,尽管最大攻击吞吐量有所下降,从 2020 年第三季度的每秒 1 太比特 (Tbps) 到 2021 年上半年的 625 Mbps。

8 月的最后一周,我们观察到针对欧洲 Azure 客户的 2.4 Tbps DDoS 攻击。这比2020 年的 1 Tbps 攻击高140%,也比之前在 Azure 上检测到的任何网络容量事件都高。

图 1 - 2020 年的最大攻击带宽(每秒 TB)与 2021 年 8 月的攻击。

图 1 – 2020 年的最大攻击带宽(每秒太比特)与 2021 年 8 月的攻击。

攻击流量来自大约 70,000 个来源,来自亚太地区的多个国家,例如马来西亚、越南、台湾、日本和中国,以及来自美国。攻击向量是 UDP 反射,持续时间超过 10 分钟,爆发时间非常短,每次爆发都在几秒钟内上升到 TB 级。我们总共监测了三个主要峰值,第一个峰值为 2.4 Tbps,第二个峰值为 0.55 Tbps,第三个峰值为 1.7 Tbps。

图 2——攻击生命周期和进展。

图 2——攻击生命周期和进展。

Azure 的大规模 DDoS 保护

这种规模的攻击表明,不良行为者有能力通过用巨大的流量淹没目标来试图扼杀网络容量来造成严重破坏。但是,Azure 的 DDoS 保护平台建立在分布式 DDoS 检测和缓解管道上,可以吸收数十 TB 的 DDoS 攻击。这种聚合的分布式缓解能力可以大规模扩展以吸收最大量的 DDoS 威胁,为我们的客户提供他们需要的保护。

攻击缓解生命周期由我们的控制平面逻辑进行编排,该逻辑将缓解资源动态分配到最靠近攻击源的最佳位置。在这种情况下,源自亚太地区和美国的攻击流量并未到达客户地区,而是在源国进行了缓解。

Azure 提供超出充足缓解能力的额外保护。Azure 的 DDoS 缓解通过在网络中的许多点持续监控我们的基础架构,对大型攻击进行快速检测和缓解。当与基线的偏差非常大时,我们的 DDoS 控制平面逻辑会通过正常检测步骤(低流量洪水所需的步骤)立即启动缓解措施。这确保了最快的缓解时间,并防止此类大型攻击造成附带损害。

无论是在云端还是在本地,每个工作负载暴露在互联网上的组织都容易受到 DDoS 攻击。由于 Azure 的全球吸收规模和先进的缓解逻辑,客户没有受到任何影响或停机。如果客户一直在他们自己的数据中心运行,他们很可能会遭受大量的财务损失以及任何无形成本。

如何保护您的工作负载免受 DDoS 攻击

在 COVID-19 大流行期间,随着云服务的采用,数字化转型的步伐显着加快。现在比以往任何时候都更糟糕的演员不断寻找使应用程序离线的方法。因此,组织应高度重视使用 Azure开发强大的DDoS 响应策略

Azure DDoS 保护标准提供增强的 DDoS 缓解功能来防御 DDoS 攻击。它会自动调整以保护虚拟网络中的所有公共 IP 地址。在任何新的或现有的虚拟网络上启用保护都很简单,不需要任何应用程序或资源更改。

除了针对 DDoS 攻击的及时保护之外,Azure DDoS 保护标准的另一个关键功能是成本保护,注册 DDoS 保护标准的客户可以获得数据传输和应用程序横向扩展服务信用,用于因记录在案的 DDoS 攻击而产生的资源成本。对于可能产生巨大成本的大型攻击,必须有这样的成本保护。为了帮助客户跟踪和记录 DDoS 攻击,我们提供了丰富的攻击遥测日志

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注