Verstehen, wie Microsoft vor DoS-Angriffen schützt
Denial-of-Service (DoS) bezeichnet eine Kategorie von netzwerkbasierten Angriffen, bei denen der Angreifer alle Ressourcen des Opfersystems konsumiert, mit dem Ziel, legitime Aktivitäten zu verhindern. Das Identifizieren und Blockieren von Angriffen aus einer einzigen Problemquelle ist einfach, die bedrohlichste Form von DoS-Angriffen sind die verteilten (distributed) Denial-of-Service-Angriffe (DDoS-Angriffe) DDoS-Angriffe verwenden viele kompromittierte zwischengeschaltete Systeme, die von einem Angreifer kontrolliert werden, um das Zielsystem zu überlasten. Die Vielfalt und Anzahl der Angriffsquellen machen es schwieriger, DDoS-Angriffe zu erkennen und zu blockieren.
Drei Hauptfaktoren bestimmen die Effektivität eines DDoS-Abwehrsystems: Absorption, Erkennung und Risikominderung. Die Absorption des anfänglichen DoS-Angriffs ohne Verlust der Verfügbarkeit ist notwendig, um genügend Zeit für die Erkennung und Risikominderung sicherzustellen. Ohne entsprechende Absorptionskapazität bleibt möglicherweise nicht genug Zeit, um auf einen DDoS-Angriff zu reagieren, bevor das System überlastet ist. Aus diesem Grund beruht eine erfolgreiche DDoS-Abwehr auf einer Kombination aus erhöhter Kapazität und robusten Überwachungssystemen, um die Erkennungszeit zu verkürzen.
Microsoft nutzt seine einzigartige Größe und globale Präsenz, um seine Absorptionsfähigkeiten zu stärken. Unsere global verteilte Netzwerkpräsenz ermöglicht die Implementierung von ECMP-Routing (Equal-Cost-Multi-Path, ECMP), das Netzwerkpfadredundanz für den Zugriff auf Microsoft 365-Dienste und die Isolierung von DDoS-Angriffen für die Region bietet, in der die Angriffe auftreten. Zusätzlich werden Dienste und Kundendaten zwischen den Rechenzentren repliziert, mit der Möglichkeit eines Failovers, falls das primäre Rechenzentrum nicht mehr verfügbar ist. Dieser Ansatz bedeutet, dass einzelne DDoS-Angriffe an einem bestimmten Randpunkt kein signifikantes Risiko für die Verfügbarkeit der Microsoft 365-Dienste darstellen.
Um das Risiko mehrerer gleichzeitiger DDoS-Angriffe besser bewältigen zu können, hat Microsoft sein mehrstufiges Erkennungssystem von seinen global verteilten Komponenten zur Risikominderung am Netzwerkrand getrennt. Flussdaten und Leistungsinformationen von verschiedenen Punkten des Microsoft-Netzwerkes werden verwendet, um DDoS-Korrelations- und Entdeckungssysteme zu entwickeln und zu verbessern. Das Microsoft-Prinzip der impliziten Verweigerung des Netzwerkdatenverkehrs stellt sicher, dass unerwünschte Kommunikation am Netzwerkrand verworfen wird, wodurch die Angriffsflächen auf Dienste und der Aufwand für die Analyse verringert werden.
Sobald DDoS-Angriffe erkannt wurden, werden sie mithilfe von Standard-Risikominderungstechniken wie SYN-Cookies, Ratenbegrenzung und Verbindungsbeschränkungen behandelt. DDoS-Angriffe zielen meistens auf die Ebenen Netzwerk (L3) und Transport (L4) des OSI (Open System Interconnection)-Modells ab, indem sie Netzwerkleitungen und Geräteressourcen sättigen. Microsoft hat eine Lösung entwickelt, die sich auf den Schutz dieser Schichten konzentriert, um sicherzustellen, dass der Angriffsdatenverkehr den legitimen Kundendatenverkehr nicht stört oder schädigt. Datenverkehrsproben von Routern im Rechenzentrum werden von Überwachungssystemen von Microsoft erfasst und analysiert. Dadurch können automatisierte Abwehrmechanismen aktiviert werden, wenn ein DDoS-Angriff auf diese hochriskanten Schichten erkannt wird.
Im Rahmen eines mehrstufigen Ansatzes zur DDoS-Abwehr können Anwendungen wie Exchange Online und SharePoint Online Benutzer basierend auf den von ihnen verbrauchten Ressourcen drosseln. Ein verbreitetes Beispiel ist die Drosselung eines Benutzers oder Dienstes, wenn zu viele Aktionen in kurzer Zeit ausgeführt werden. Dies bietet eine zusätzliche Schutzschicht gegen DDoS-Angriffe.