All’inizio del mese, molti utenti hanno segnalato problemi di accesso a vari servizi di Microsoft, tra cui Outlook, OneDrive e Azure. L’azienda di Redmond ha confermato ufficialmente di aver subito diversi attacchi DDoS (Distributed Denial-of-Service) di livello 7 da parte del gruppo Storm-1359, noto anche come Anonymous Sudan.
Dettagli tecnici e soluzioni
In seguito agli attacchi, Microsoft non aveva subito confermato la causa, segnalando però picchi di traffico che hanno impedito l’accesso ai servizi e l’applicazione del bilanciamento del carico. L’azienda di Redmond spiega ora che gli attacchi sono stati effettuati con VPS (Virtual Private Server), infrastrutture cloud, open proxy, botnet e tool DDoS.
Gli attacchi DDoS hanno preso di mira il livello 7 (ovvero il livello Applicazione del modello OSI), invece dei livelli 3 o 4 (Rete e Trasporto). Questo tipo di attacco è più difficile da rilevare e mitigare, ma Microsoft ha rafforzato il WAF (Web Application Firewall) di Azure per proteggere i clienti.
In dettaglio sono stati utilizzati tre attacchi DDoS layer 7: HTTP(S) flood attack, Cache bypass e Slowloris. Lo scopo di un HTTP(S) flood attack è quello di esaurire le risorse di sistema (CPU e RAM) con un numero elevato di handshake SSL/TLS e richieste HTTP(S).
Il Cache bypass consente invece di aggirare il livello CDN e sovraccaricare i server di origine. Infine, Slowloris forza il server web a mantenere una connessione aperta (ad esempio per la richiesta di un’immagine) e consumare RAM. Microsoft fornisce alcuni suggerimenti per ridurre l’impatto di un attacco DDoS di livello 7, tra cui l’uso del Web Application Firewall di Azure.
Ti potrebbe interessare
18 giu 2023