近日,微软在一篇博客文章中承认,自6月初以来,其Microsoft 365及Azure云服务多次因遭受黑客的分布式拒绝服务(DDoS)攻击而中断。据了解,发起这一系列DDoS攻击的是一个名为Anonymous Sudan的匿名黑客组织。微软将这一组织标记为“Storm-1359”,并表示该组织可以访问一系列僵尸网络和工具,从而利用多个云服务和开放代理基础设施发起DDoS攻击。 根据微软的描述,Storm-1359发起的主要是几种类型的“Layer 7”DDoS攻击,包括: 1. HTTP(S)洪水攻击:这种攻击旨在通过巨量的SSL/TLS握手和HTTP(S)请求处理耗尽系统资源。黑客会从不同的源IP发送高负载的HTTP(S)请求,导致应用程序后端消耗大量计算资源(CPU和内存)。
2. 缓存绕过:这种攻击试图绕过内容分发网络(CDN)层,可能导致运行在源服务器上的应用程序过载。黑客通过针对生成的URL发送一系列查询,迫使前端层将所有请求转发到源,而不是从缓存的内容提供服务。 3. Slowloris:这种攻击指的是客户端开始与Web服务器的连接,请求资源(如图像),然后无法确认下载(或缓慢接受下载请求)。这会迫使Web服务器保持连接打开并将请求的资源保存在内存中。 针对这些攻击行为,微软已经加强了“第七层”的防护措施,包括调整Azure Web应用程序防火墙(WAF)。值得注意的是,黑客的攻击重心在第7层,而不是第3层或第4层。所谓的“Layer 7”是指OSI七层协议模型中的应用层。