了解 Microsoft 如何防禦 DoS 攻擊
阻斷服務 (DoS) 是指網路型攻擊的類別,其中攻擊者會取用受害系統的所有資源,目的為阻止合法活動的進行。 由於識別並封鎖來自單一問題來源的流量過於微不足道,因此最具威脅性的 DoS 攻擊形式是分散式阻斷服務 (DDoS)。 DDoS 攻擊會利用攻擊者控制的許多遭入侵中繼系統來爆滿目標系統。 攻擊來源的多樣性和數量使 DDoS 攻擊更難以偵測和封鎖。
三個決定 DDoS 防禦系統有效性的主要因素:吸收、偵測和風險降低。 在不遺失可用性情況下對初始 DoS 攻擊的吸收很重要,以便有足夠時間來啟用偵測和風險降低。 如果沒有適當的吸收容量,系統在爆滿前可能沒有足夠的時間回應 DDoS 攻擊。 基於這個原因,成功的 DDoS 防禦仰賴增強的容量和強大的監視系統組合,以減少偵測時間。
Microsoft 使用獨特的大規模和全域式格局來強化其吸收功能。 我們的全域分散式網路狀態允許實作等價多路徑 (ECMP) 路由,為存取 Microsoft 365 服務提供網路路徑冗餘,以及將 DDoS 攻擊隔離至其發生的區域。 此外,如果主要資料中心無法使用,服務與客戶資料還會在資料中心間進行複製,並可容錯移轉。 此方法表示特定邊緣點的個別 DDoS 攻擊不會對 Microsoft 365 服務的可用性造成重大威脅。
為了更妥善處理多個同時進行 DDoS 攻擊的風險,Microsoft 已分隔其多層偵測系統與位於網路邊緣之全域分散式的風險降低元件。 來自 Microsoft 網路上各點的流量資料和效能資訊可用來開發和改善 DDoS 的關聯性和偵測系統。 Microsoft 對於網路流量的隱含準則可確保不想要的通訊會置放在網路邊緣,以減少服務攻擊面以及分析的負擔。
系統在偵測到 DDoS 攻擊後,會使用標準風險降低技術 (例如 SYN Cookie、速率限制和連線接限制) 處理攻擊。 DDoS 攻擊通常會以開放系統互連 (OSI) 模型的網路 (L3) 和傳輸 (L4) 層為目標,使網路線和裝置資源飽和。 Microsoft 設計的解決方案著重於保護這些層,以確保攻擊流量不會干擾或損害合法的客戶流量。 來自資料中心路由器的流量抽樣資料會由 Microsoft 的監視系統擷取和分析,配備上自動化防禦機制以在偵測到這些高風險層上的 DDoS 攻擊時加以啟用。
多層 DDoS 防禦方法之一是 Exchange Online 和 SharePoint Online 等應用程式可以依據使用者所取用的資源對使用者進行節流。 常見的範例是在短時間內節流執行太多動作的使用者或服務。 這可針對 DDoS 攻擊提供額外的防禦層。