微软抵御破纪录的 3.47Tbps DDoS 攻击

随着互联网攻击的进行，旨在使服务器脱机的数据洪流是最粗暴的，类似于一个野蛮的穴居人挥舞着一根棍子来打击他的对手。多年来，这些俱乐部变得越来越大。微软周四提供的新数据显示，这种增长看不到尽头。

该公司的 Azure DDoS 保护团队表示，在 11 月，它抵御了行业专家所说的可能是有史以来最大的分布式拒绝服务攻击：每秒吞吐量为 3.47 TB 的垃圾数据洪流。创纪录的 DDoS 来自全球至少 10 个国家的 10,000 多个来源。

DDoS 军备竞赛

DDoS 针对亚洲一位身份不明的 Azure 客户，持续了大约两分钟。

微软表示，接下来的一个月，Azure 抵御了另外两个怪物 DDoSe。第一个重达 3.25Tbps，分四次爆发，持续约 15 分钟。

12 月 2 日的 DDoS 达到了 2.54Tbps 的峰值，持续了大约 5 分钟。

该记录超过了微软在 2021 年上半年缓解的 2.5Tbps 攻击。此前，最大的攻击之一是2.37Tbps，比 2018 年创下的记录增加了 35%。2020 年单独的 DDoS 产生了 8.09 亿个数据包每秒，这在当时也是一个记录。每秒数据包 DDoS 的工作方式是耗尽服务器的计算资源。相比之下，更传统的容量攻击会消耗目标网络或服务内部的可用带宽，或者在目标和 Internet 的其余部分之间获取可用带宽。3.7Tbps 攻击每秒发送大约 3.4 亿个数据包。

放大坏处

DDoS 攻击背后的不法分子有多种方法来提供更大的数据洪流。一种是增加受感染计算机、路由器或其他连接互联网的设备的数量，或者招募或破坏具有更多可用带宽的大型服务器。

另一种方法是实施 反射放大攻击。在这种攻击中，不法分子将他们的数据炮指向配置错误的互联网设备，导致该设备将更大的有效载荷重定向到最终目标。后一种方法主要是推动不断增长的 DDoS 军备竞赛的原因。

DDoSers 定期发现新的放大载体。2014 年，滥用 Internet 的网络时间协议 (NTP) 的攻击开始流行，当时该协议被用来使 Steam、Origin、Battle.net、EA 和其他大型游戏制造商的服务器下线。这种方法有助于将 吞吐量提高206 倍 ，这意味着终端设备交付的 1 GB 数据在达到其最终目标时达到 206 GB。2018 年，scofflaws 转向了 memcachd，这是一种用于加速网站和网络的数据库缓存系统。memcached 放大器可以提供高达原始大小 51,000 倍的攻击，使其成为迄今为止在野外使用的最大的放大方法。一年后，DDoSes 被使用 WS-Discovery 的设备反射出来，WS-Discovery 是一种广泛存在于网络连接摄像机、DVR 和其他物联网设备中的协议。

最近，DDoSers 滥用了Microsoft RDP，他们错误地配置了运行 CLDAP（无连接轻量级目录访问协议的缩写）的服务器和运行简单服务发现协议（或 SSDP）的Plex 媒体服务器。这可以将设备暴露给普通互联网。

造成严重破坏

可悲的是，互联网上充斥着数百万台配置错误的服务器，这些服务器使反射放大攻击成为可能。这些互联网滋扰在微软报告的 3.47Tbps 攻击中发挥了重要作用。

Mark Dehus 是安全公司 Lumen 的威胁情报总监，负责监督该公司的 Black Lotus Labs 团队。他在一封电子邮件中告诉 Ars：

3.47Tbps 攻击是我们所知道的最大攻击之一，报告的细节与我们在过去几个月中看到的许多趋势一致。大规模、多向量攻击的增加——我们也看到了——表明威胁参与者正变得越来越复杂，他们使用 CLDAP 等多种反射服务帮助他们有效地对整个互联网生态系统造成严重破坏。通过我们的网络可见性，我们正在积极识别和跟踪超过 11k 的唯一 CLDAP 反射器，这些反射器可能被用于 DDoS 攻击。

微软缓解的攻击来自大约 10,000 个来源，来自美国、中国、韩国、俄罗斯、泰国、印度、越南、伊朗、印度尼西亚和台湾等国家。攻击向量是使用 SSDP、CLDAP、NTP 和域名系统服务器在端口 80 上反射的大量用户数据报协议数据包。与此同时，12 月的 3.25Tbps 和 2.54Tbps 攻击是通过端口 80 和 443 进行的 UDP 泛洪攻击。

UDP 是一种通信协议，用于对时间特别敏感的传输，例如视频播放或 DNS 查找。它通过在数据传输之前不正式建立连接来加速通信。与更常见的传输控制协议不同，UDP 不会等待两台计算机之间通过握手建立连接，也不会检查对方是否正确接收数据。相反，它会立即将数据从一台机器发送到另一台机器。

由于 UDP 不需要握手，因此攻击者可以使用它来向目标服务器发送大量流量，而无需先获得该服务器开始传输的许可。UDP 泛洪通常会向目标系统上的多个端口发送大量数据报。反过来，目标系统必须发回相同数量的数据包以指示端口不可访问。最终，目标系统在压力下崩溃，导致合法流量被拒绝。

去年下半年，UDP 攻击占 Microsoft 看到的所有 DDoSe 的 55%，比 2021 年上半年增加了 16%。同时，TCP 攻击从 54% 下降到 19%。

UDP 常用于游戏和流媒体应用程序。不出所料，游戏公司是微软看到的首要目标。大多数攻击来自感染了开源Mirai 僵尸网络恶意软件和低容量 UDP 协议攻击的物联网设备。绝大多数是UDP欺骗洪水。一小部分使用 UDP 反射和放大，主要是 SSDP、memcached 和 NTP。

在周四的报告中，Azure 网络产品经理 Alethea Toh 写道：

游戏行业一直充斥着 DDoS 攻击，因为玩家经常不遗余力地取胜。尽管如此，我们看到更广泛的行业同样容易受到攻击，因为我们观察到金融机构、媒体、互联网服务提供商 (ISP)、零售和供应链等其他行业的攻击有所增加。