微軟 Azure 的 DDoS 攻擊事件
本週,微軟證實其成功減輕了有史以來最大規模的 DDoS 攻擊,這次攻擊由 Aisuru 發動,流量達到 15.72 Tbps 和 3.64 Bpps,鎖定澳大利亞的一個公共 IP。值得注意的是,這次攻擊是由同樣的 TurboMirai 類僵屍網絡 Aisuru 發動,此前由 Cloudflare 報告的攻擊流量達到了 22 Tbps。
Aisuru 的戰略轉變
數週前,行業內的許多觀察者,包括 FastNetMon 和 KrebsOnSecurity,注意到 Aisuru 似乎將重心轉向住宅代理服務和更廣泛的 "多用途" 濫用,可能已從 DDoS 作為其主要商業模式中退一步。然而,最新的攻擊顯示 Aisuru 並未離開 DDoS 領域,而是採取了一種高度選擇性、高衝擊力的策略。
Aisuru 的技術特性
儘管 Aisuru 在其他領域的技術十分先進,但在用於 DDoS 攻擊時仍有明顯的弱點:
- 單一向量攻擊:Aisuru 的大多數攻擊是直接途徑的 UDP 洪水或簡單的 TCP/UDP 突發,並非我們在更高級攻擊活動中常見的複雜多向量序列。
- 有限的偽裝能力:TurboMirai 類惡意軟件無法生成偽造流量,這使得追蹤變得可能。
- 粗暴的策略:Aisuru 更依賴於原始流量——巨大的帶寬和封包速率,而非精巧的技巧,攻擊猛烈但不夠巧妙。
防禦的挑戰
現實情況是,如果一個組織沒有非常快速的反應能力和足夠的網絡容量來吸收即時衝擊,Aisuru 級別的攻擊是無法存活的。Aisuru 的攻擊通常在不到一分鐘內完成,如果無法在幾秒內檢測和緩解,將會遭遇停機。許多網絡並未準備好達到這一水平,而 Aisuru 正是基於這一點進行設計。
出口 DDoS 的盲點
更有趣的是行業內鮮少討論的角度:攻擊的附帶損害。Aisuru 的攻擊將大量流量通過非目標網絡,這些網絡通常是托管著受感染設備的寬頻接入網絡。這提出了一個重要但未得到充分檢查的挑戰:出口 DDoS。我們最近撰寫了關於此的文章,提出網絡可能在不知情的情況下承載大規模攻擊流量離開其 ASN。
未來的方向
Azure 攻擊提醒我們:
- Aisuru 並未放棄 DDoS,而是在其高流量、低複雜度的攻擊上加倍。
- 主要清洗中心可以吸收攻擊流量,但檢測速度可能是個問題。
- 真正的系統風險可能在於承載攻擊的網絡,而非僅接收攻擊的網絡。
如果我們希望擁有更具韌性的互聯網,電信和 ISP 社群必須合作。ASN 間的 FlowSpec 和出口流量監控提供了一種供應商中立的解決方案,這些解決方案已經存在,但必須在整個生態系統中部署才能發揮作用。DDoS 形勢正在快速演變,這是一個非常有趣的時刻。