了解 Microsoft 如何抵御 DoS 攻击
拒绝服务 (DoS) 是指一类基于网络的攻击,攻击者会使用受害者系统的所有资源,以便阻止其正当活动。 由于识别和阻止来自单个问题源的流量非常简单,因此,最具有威胁性的 DoS 攻击形式是分布式拒绝服务 (DDoS)。 DDoS 攻击利用攻击者控制的许多遭到入侵的中间系统来破坏目标系统。 攻击源的种类和数量使 DDoS 攻击更难检测和阻止。
三个主要因素决定了 DDoS 防御系统的有效性:吸收、检测和缓解。 需要在不损失可用性的情况下吸收初始 DoS 攻击,以便有足够的时间进行检测和缓解。 如果没有适当的吸收容量,在系统崩溃之前,可能没有足够的时间来响应 DDoS 攻击。 因此,成功的 DDoS 防御依赖于增加的容量和可靠的监视系统的组合来减少检测时间。
Microsoft 使用其独特的大规模和全球占用来增强其吸收能力。 我们的全球分布式网络允许实现成本相等的多路径 (ECMP) 路由,为访问 Microsoft 365 服务提供网络路径冗余,并将 DDoS 攻击隔离在其发生区域。 此外,如果主数据中心不可用,服务和客户数据会在数据中心之间复制,并且能够进行故障转移。 此方法意味着特定边缘点上的单个 DDoS 攻击不会对 Microsoft 365 服务的可用性构成重大风险。
为了更好地应对多个同时发生 DDoS 攻击的风险,Microsoft 已将其多层检测系统与网络边缘的全球分布式缓解组件分开。 Microsoft 网络上各个点的流数据和性能信息被用于开发和改进 DDoS 相关性和检测系统。 Microsoft 对网络流量的隐式拒绝原则可确保在网络边缘删除不需要的通信,从而减少服务攻击面和分析负担。
检测到 DDoS 攻击后,将使用标准缓解技术(如 SYN Cookie、速率限制和连接限制)进行处理。 DDoS 攻击通常针对开放系统互连 (OSI) 模型的网络 (L3) 和传输 (L4) 层,使网络线路和设备资源饱和。 Microsoft 设计了一个专门保护这些层的解决方案,以确保攻击流量不会干扰或损害正当的客户流量。 来自数据中心路由器的流量采样数据由 Microsoft 的监视系统引入和分析,并提供给自动防御机制,以便在检测到这些高风险层遭受 DDoS 攻击时激活。
作为 DDoS 多层防御方法的一部分,Exchange Online 和 SharePoint Online 等应用程序可以根据用户使用的资源限制用户。 一个常见示例是限制用户或服务在短时间内执行过多的操作。 这样针对 DDoS 攻击又增加了一层防御。