通过

Microsoft拒绝服务防御策略

  • 项目

拒绝服务防御策略

Microsoft防御基于网络的分布式拒绝服务 (DDoS) 攻击的策略是独一无二的,因为全球占用空间很大,使Microsoft能够利用大多数其他组织都无法使用的策略和技术。 此外,Microsoft有助于并借鉴由广泛的威胁情报网络(包括Microsoft合作伙伴和更广泛的互联网安全社区)聚合的集体知识。 这种智能,以及从在线服务和Microsoft的全球客户群收集的信息,不断改进Microsoft的 DDoS 防御系统,以保护所有Microsoft在线服务的资产。

Microsoft DDoS 战略的基石是全球业务。 Microsoft与 Internet 提供商、对等互连提供商 (公共和私人) 以及世界各地的私营公司合作。 这种参与为Microsoft提供了重要的 Internet 存在,并使Microsoft能够吸收大面积外围区域的攻击

随着Microsoft边缘容量随时间推移而增长,对单个边缘的攻击意义已大大降低。 由于这种减少,Microsoft已分离其 DDoS 防护系统的检测和缓解组件。 Microsoft在区域数据中心部署多层检测系统,以检测更接近其饱和点的攻击,同时在边缘节点上保持全局缓解。 此策略可确保Microsoft服务可以同时处理多个攻击。

Microsoft针对 DDoS 攻击采用的最有效、最低成本的防御措施之一是减少服务攻击面。 不需要的流量将丢弃在网络边缘,而不是分析、处理和清理内联数据。

在与公用网络的接口上,Microsoft使用用于防火墙、网络地址转换和 IP 筛选功能的特殊用途安全设备。 Microsoft还使用全局等价多路径 (ECMP) 路由。 全局 ECMP 路由是一个网络框架,用于确保有多个全局路径可以访问服务。 对于每个服务的多个路径,DDoS 攻击仅限于发起攻击的区域。 其他区域应不受攻击影响,因为最终用户将使用其他路径访问这些区域中的服务。 Microsoft还开发了内部 DDoS 关联和检测系统,这些系统使用流数据、性能指标和其他信息来快速检测 DDoS 攻击。

为了进一步保护云服务,Microsoft使用 Azure DDoS 防护,这是一种内置于 Microsoft Azure 持续监视和渗透测试过程的 DDoS 防御系统。 Azure DDoS 防护不仅旨在抵御外部攻击,而且还能抵御来自其他 Azure 租户的攻击。 Azure 使用标准检测和缓解技术(例如 SYN Cookie、速率限制和连接限制)来防范 DDoS 攻击。 为了支持自动保护,跨工作负载 DDoS 事件响应团队标识跨团队的角色和职责、升级标准,以及跨受影响团队的事件处理协议。

针对目标发起的大多数 DDoS 攻击都位于网络 (L3) 和传输 (L4) 层的 开放系统互连 (OSI) 模型。 针对 L3 和 L4 层的攻击旨在通过攻击流量淹没网络接口或服务,使资源不堪重负,并拒绝对合法流量做出响应的能力。 为了防范 L3 和 L4 攻击,Microsoft的 DDoS 解决方案使用数据中心路由器的流量采样数据来保护基础结构和客户目标。 流量采样数据由网络监视服务分析,以检测攻击。 检测到攻击后,自动防御机制会启动以缓解攻击,并确保针对一个客户的攻击流量不会导致附带损害或降低其他客户的网络服务质量。

Microsoft还对 DDoS 防御采取攻击性方法。 僵尸网络是用于执行 DDoS 攻击的常见命令和控制来源,以放大攻击并保持匿名性。 Microsoft数字犯罪部门 (DCU) 侧重于识别、调查和破坏恶意软件分发和通信基础结构,以减少僵尸网络的规模和影响。

应用程序级防御

Microsoft的云服务是特意构建的,以支持高负载,这有助于防范应用程序级 DDoS 攻击。 Microsoft的横向扩展体系结构跨多个全球数据中心分发服务,这些数据中心具有区域隔离和针对相关工作负载的特定于工作负载的限制功能。

每个客户的国家或地区(客户管理员在服务的初始配置期间识别)确定该客户数据的主要存储位置。 客户数据根据主/备份策略在冗余数据中心之间复制。 主数据中心托管应用程序软件,以及软件上运行的所有主要客户数据。 备份数据中心提供自动故障转移。 如果主数据中心因任何原因停止运行,请求将重定向到备份数据中心中的软件和客户数据的副本。 在任何给定时间,客户数据都可以在主数据中心或备份数据中心进行处理。 在多个数据中心之间分布数据可在一个数据中心受到攻击时减少受影响的外围应用。 此外,受影响数据中心内的服务可以快速重定向到辅助数据中心,以在攻击期间保持可用性,并在缓解攻击后重定向回主数据中心。

作为针对 DDoS 攻击的另一种缓解措施,单个工作负载包括管理资源利用率的内置功能。 例如,Exchange Online 和 SharePoint Online 中的限制机制是防御 DDoS 攻击的多层方法的一部分。

Azure SQL 数据库以名为 DoSGuard 的网关服务的形式提供额外的安全层,该服务基于 IP 地址跟踪失败的登录尝试。 如果达到来自同一 IP 的登录尝试失败的阈值,DoSGuard 会阻止该地址在预先确定的时间量。

资源