Общие сведения о защите корпорации Майкрософт от атак типа "отказ в обслуживании"
Отказ в обслуживании (DoS) относится к категории сетевых атак, в которых злоумышленник потребляет все системные ресурсы жертвы с целью блокировки допустимых действий. Так как выявление и блокировка трафика из одного проблемного источника является тривиальной задачей, наиболее опасной формой атак DoS является распределенная атака типа "отказ в обслуживании" (DDoS). Атаки DDoS используют множество скомпрометированных промежуточных систем, управляемых злоумышленником, для перегрузки целевой системы. Разнообразие и количество источников атак затрудняет обнаружение и блокировку DDoS-атак.
Эффективность системы защиты от DDoS определяется тремя основными факторами: поглощение, обнаружение и устранение. Поглощение исходной DoS-атаки без потери доступности необходимо, чтобы обеспечить достаточно времени для обнаружения и устранения. Без соответствующей емкости поглощения может отсутствовать достаточное время для реагирования на атаку DDoS, прежде чем система окажется перегруженной. По этой причине успешная защита от атак DDoS зависит от сочетания увеличенной емкости и надежных систем мониторинга с целью уменьшения времени обнаружения.
Корпорация Майкрософт использует свой уникальный масштаб и глобальное присутствие для повышения своих возможностей поглощения. Наше глобально распределенное сетевое присутствие обеспечивает реализацию многопутевой маршрутизации с равной стоимостью (ECMP), обеспечивающей избыточность сетевого пути для доступа к службам Microsoft 365 и изоляцию DDoS-атак в регионе, где они происходят. Кроме того, службы и данные клиентов реплицируются между центрами обработки данных с возможностью отработки отказа, если основной центр обработки данных станет недоступным. Этот подход означает, что отдельные DDoS-атаки в определенной граничной точке не представляют существенного риска для доступности служб Microsoft 365.
Чтобы лучше справляться с риском нескольких одновременных DDoS-атак, корпорация Майкрософт отделила свою многоуровневую систему обнаружения от своих глобально распределенных компонентов устранения рисков на границе сети. Данные потока и сведения о производительности из различных точек в сети Майкрософт используются для разработки и улучшения систем корреляции и обнаружения DDoS. Принцип неявного запрета сетевого трафика корпорацией Майкрософт гарантирует, что нежелательное взаимодействие блокируется на границе сети, что снижает количество направлений атак на службы и упрощает анализ.
После обнаружения атаки DDoS обрабатываются с помощью стандартных методов устранения рисков, таких как файлы cookie SYN, ограничение скорости трафика и ограничение подключений. Атаки DDoS чаще всего нацелены на уровни сети (L3) и транспорта (L4) модели взаимодействия открытых систем (OSI) для насыщения сетевых линий и ресурсов устройств. Корпорация Майкрософт разработала решение по защите этих уровней для гарантии того, что трафик атак не будет мешать или наносить ущерб допустимому трафику клиентов. Данные выборки трафика с маршрутизаторов центров обработки данных поглощаются и анализируются системами мониторинга Майкрософт, что позволяет активировать автоматизированные механизмы защиты при обнаружении атаки DDoS на эти уровни с высоким риском.
В рамках многоуровневого подхода к защите от атак DDoS приложения, например Exchange Online и SharePoint Online, могут регулировать пользователей в зависимости от потребляемых ими ресурсов. Распространенный пример — регулирование пользователя или службы, которые выполняют слишком много действий за короткий промежуток времени. Это обеспечивает дополнительный уровень защиты от атак DDoS.