微软如何抵御一次破纪录的网络攻击

去年年底，微软的云服务遭遇了一次规模空前的网络攻击。这次事件不仅刷新了记录，也让我们看到，互联网上最“简单粗暴”的攻击方式，其威力仍在不断升级。我的理解是，这就像一场没有硝烟的军备竞赛，攻击者与防御者都在持续进化。

一次刷新记录的流量攻击

2021年11月，微软的Azure云平台成功抵御了一次针对亚洲某客户的分布式拒绝服务（DDoS）攻击。这次攻击的峰值流量达到了惊人的每秒3.47太比特（Tbps），持续了大约两分钟。根据微软的数据，这可能是迄今为止有记录以来规模最大的一次DDoS攻击。

攻击并非孤例。就在接下来的12月，Azure又成功拦截了另外两次大规模攻击，峰值流量分别达到3.25Tbps和2.54Tbps。这些数字远超2021年上半年微软缓解的2.5Tbps攻击，也超过了2018年创下的记录。攻击流量来自全球至少10个国家的超过1万个源头，形成了一股难以想象的全球性数据洪流。

DDoS攻击的“放大器”

为什么现在的攻击能产生如此巨大的流量？一个关键的技术是“反射放大攻击”。攻击者不再仅仅依赖自己控制的“僵尸”计算机，而是巧妙地利用了互联网上大量配置不当的服务器或设备。

简单来说，攻击者会向这些有漏洞的设备发送一个很小的请求数据包，但请求的回复地址被伪造成攻击目标。这些设备会向目标回复一个体积大得多的数据包，从而将攻击流量成百上千倍地放大。例如，文中提到，滥用网络时间协议（NTP）的方法可以将攻击放大206倍，而滥用memcached数据库缓存系统的方法，甚至能将攻击放大高达51,000倍。

近年来，攻击者不断寻找新的“放大器”，从早期的NTP，到后来的memcached、WS-Discovery协议，再到近期被滥用的微软RDP、CLDAP协议以及Plex媒体服务器。互联网上存在数百万台配置不当的设备，为这种攻击提供了源源不断的“弹药”。

攻击的目标与方式

那么，谁最容易成为这类攻击的目标呢？根据微软的报告，游戏行业一直是DDoS攻击的重灾区，因为“玩家经常不遗余力地取胜”。但攻击的波及面正在扩大，金融机构、媒体、互联网服务提供商、零售和供应链等行业遭受的攻击也在增加。

从攻击手法上看，一种名为UDP泛洪的攻击方式在去年下半年变得尤为突出，占到了微软观测到所有DDoS攻击的55%。UDP是一种无需事先建立连接的通信协议，常用于在线游戏、视频流等对实时性要求高的场景。正因如此，攻击者可以轻易地伪造大量UDP数据包直接“淹没”目标服务器，而服务器则需要不断回应，最终不堪重负。微软观察到的这些大规模攻击，大多就混合使用了基于UDP协议的多种反射放大技术。

结语

这次破纪录的3.47Tbps攻击，虽然被成功防御，但它清晰地揭示了一个趋势：网络攻击的“蛮力”正在借助技术手段不断放大。攻击者正变得越来越复杂，利用互联网生态中的各种漏洞组合出击。对于依赖网络服务的各行各业而言，这无疑是一个持续的警示，意味着构建和维护强大的防御体系，将是一场没有终点的持久战。