Microsoft 拒绝服务防御策略

拒绝服务防御策略

Microsoft 防御基于网络的分布式拒绝服务 (DDoS) 攻击的策略是唯一的,因为全球占用量很大,使 Microsoft 能够利用大多数其他组织不可用的策略和技术。 此外,Microsoft 还参与并借鉴了由广泛的威胁情报网络聚合的集体知识,其中包括 Microsoft 合作伙伴和更广泛的 Internet 安全社区。 此智能以及从 联机服务 和 Microsoft 全球客户群收集的信息不断改进 Microsoft 的 DDoS 防御系统,可保护 Microsoft 联机服务的所有资产。

Microsoft DDoS 战略的基石是全球存在。 Microsoft 与 Internet 提供商、对等互连提供商 (公共和私人) 以及世界各地的私营公司进行合作。 此参与为 Microsoft 提供了重要的 Internet 存在,并使 Microsoft 能够在大型外围区域中吸收攻击

随着 Microsoft 边缘容量随时间推移而增长,针对单个边缘的攻击的重要性已大大降低。 由于这种减少,Microsoft 已分离其 DDoS 防护系统的检测和缓解组件。 Microsoft 在区域数据中心部署多层检测系统,以检测离饱和点更近的攻击,同时在边缘节点保持全局缓解。 此策略可确保 Microsoft 服务可以处理多个同时发生的攻击。

Microsoft 针对 DDoS 攻击采用的最有效和低成本防御措施之一是减少服务攻击面。 不需要的流量会在网络边缘删除,而不是内联分析、处理和清理数据。

在与公用网络的接口中,Microsoft 使用特殊用途的安全设备来处理防火墙、网络地址转换和 IP 筛选功能。 Microsoft 还使用全局等成本多路径 (ECMP) 路由。 全局 ECMP 路由是一个网络框架,可确保有多个全局路径可访问服务。 对于每个服务的多个路径,DDoS 攻击仅限于攻击源自的区域。 其他区域不应受到攻击的影响,因为最终用户将使用其他路径访问这些区域中的服务。 Microsoft 还开发了内部 DDoS 关联和检测系统,这些系统使用流数据、性能指标和其他信息来快速检测 DDoS 攻击。

为了进一步保护云服务,Microsoft 使用 Azure DDoS 防护(一种内置于 Microsoft Azure 持续监视和渗透测试过程中的 DDoS 防御系统)。 Azure DDoS 防护不仅设计用于抵御外部攻击,还可抵御来自其他 Azure 租户的攻击。 Azure 使用标准检测和缓解技术(如 SYN Cookie、速率限制和连接限制)来防范 DDoS 攻击。 为了支持自动保护,跨工作负荷 DDoS 事件响应团队确定跨团队的角色和责任、升级条件以及受影响团队中的事件处理协议。

针对目标发起的大多数 DDoS 攻击都位于开放 系统互连 (OSI) 模型的网络 (L3) 和传输 (L4) 层。 针对 L3 和 L4 层的攻击旨在使用攻击流量来淹没网络接口或服务,以覆盖资源并拒绝响应合法流量的能力。 为了防范 L3 和 L4 攻击,Microsoft 的 DDoS 解决方案使用数据中心路由器中的流量采样数据来保护基础结构和客户目标。 流量采样数据由网络监视服务进行分析,以检测攻击。 检测到攻击时,自动防御机制会启动以缓解攻击,并确保针对一个客户的攻击流量不会导致附带损害或降低其他客户的网络服务质量。

Microsoft 还对 DDoS 防御采取攻击性方法。 Botnet 是用于进行 DDoS 攻击以放大攻击和保持匿名的常见命令和控制源。 Microsoft 数字犯罪部门 (DCU) 侧重于识别、调查和破坏恶意软件分发和通信基础结构,以减少僵尸网络的规模和影响。

应用程序级防御

Microsoft 的云服务是有意为支持高负载而构建的,这有助于防范应用程序级别的 DDoS 攻击。 Microsoft 的横向扩展体系结构跨多个全球数据中心分发服务,为相关工作负载提供区域隔离和特定于工作负荷的限制功能。

客户管理员在服务初始配置期间标识的每个客户的国家/地区,确定该客户数据的主要存储位置。 客户数据根据主/备份策略在冗余数据中心之间复制。 主数据中心托管应用程序软件以及软件上运行的所有主要客户数据。 备份数据中心提供自动故障转移。 如果主要数据中心因任何原因停止运行,请求将重定向到备份数据中心中的软件和客户数据的副本。 在任何给定时间,客户数据都可以在主数据中心或备份数据中心进行处理。 跨多个数据中心分布数据可减少受影响的外围区域,以防一个数据中心受到攻击。 此外,受影响的数据中心中的服务可以快速重定向到辅助数据中心,以在攻击期间保持可用性,并在缓解攻击后重定向回主数据中心。

作为针对 DDoS 攻击的另一种缓解措施,单个工作负载包括管理资源利用率的内置功能。 例如,Exchange Online和 SharePoint Online 中的限制机制是多层方法的一部分,用于防范 DDoS 攻击。

Azure SQL数据库以名为 DoSGuard 的网关服务的形式具有额外的安全层,该服务基于 IP 地址跟踪失败的登录尝试。 如果达到来自同一 IP 的失败登录尝试的阈值,DoSGuard 会在预先确定的时间内阻止该地址。

资源