Microsoft war mit der heftigsten Distributed-Denial-of-Service-(DDoS-)Attacke aller Zeiten konfrontiert. Wie erst jetzt bekannt wurde, war im August 2021 ein europäischer Kunde betroffen, der seine Systeme in Microsofts Azure-Cloud betreibt. Die Wucht des Angriffs lag bei 2,4 Terabyte pro Sekunde (Tbps). Das liegt um 140 Prozent höher als der bis dato schwerste DDoS-Angriff auf Azure. 2020 war 1 Tbps gemessen worden.
Ein neues DDoS-Level
Der Vorfall dauerte Microsoft zufolge gute zehn Minuten. Innerhalb dieser Zeit gab es drei Lastspitzen - eine mit 2,4 Tbps, eine mit 1,7 Tbps und eine weitere mit 0,55 Tbps. Insgesamt registrierte der Cloud-Betreiber etwa 70.000 Netzquellen, die für die DDoS-Attacke genutzt wurden. Die meisten lokalisierte Microsoft im asiatisch-pazifischen Raum, beispielsweise in Malaysia, Vietnam, Taiwan, China und Japan, aber auch Systeme aus den USA waren beteiligt.
Angriffe dieser Größenordnung zeigten, dass kriminelle Hacker verheerenden Schaden anrichten könnten, indem sie Ziele mit gigantischen Datenmengen überfluteten und versuchten, so die Server in die Knie zu zwingen, schrieb Amir Dahan, Senior Program Manager für den Bereich Azure Networking, in einem Blog-Beitrag. Er verwies auf eine in Azure integrierte DDoS-Schutzplattform. Damit ließen sich entsprechende Attacken erkennen und über eigens eingerichtete Pipelines ableiten. Microsoft zufolge könnten so Angriffe von bis zu zehn Tbps abgefangen werden.
Die Abwehr werde von einer besonderen Control-Plane-Logik orchestriert, erläuterte Dahan weiter. Damit ließen sich Abwehrressourcen dynamisch solchen Standorten zuweisen, die den Angriffsquellen am nächsten sind. In diesem Fall habe der aus dem asiatisch-pazifischen Raum und den USA stammende Angriffsverkehr Europa und damit die Region des Kunden gar nicht erst erreicht, sondern sei bereits in den Ursprungsländern abgewehrt worden. So habe zwar Microsoft den Angriff registriert, doch das betroffene Unternehmen habe keine Schäden oder Ausfallzeiten verzeichnen müssen. Außerdem verfüge Azure über Abwehrmechanismen, die dafür sorgten, dass sofort Maßnahmen eingeleitet würden, wenn besonders große Abweichungen im Traffic beobachtet werden. Komme es dazu, würden einzelne Erkennungsschritte in der Control Plane übersprungen, um schneller reagieren zu können.
Das DDoS-Comeback 2021
Insgesamt verzeichnete Microsoft in der ersten Jahreshälfte 2021 einen starken Anstieg der täglichen DDoS-Angriffe. Im Vergleich zum vierten Quartal 2020 stieg in den ersten sechs Monaten des Jahres die durchschnittliche Zahl der täglich abgewehrten Angriffe um 25 Prozent. Microsoft zufolge konnten durchschnittlich 1.392 Angriffe pro Tag entschärft werden, der Höchstwert wurde am 24. Mai 2021 mit 2.043 Angriffen erreicht. "Insgesamt haben wir im ersten Halbjahr 2021 mehr als 251.944 einzelne Angriffe auf unsere globale Infrastruktur abgewehrt", schrieb Alethea Toh, Program Manager für Azure Networking, in einem Blog-Beitrag.
Wie schon 2020 seien die USA das am häufigsten per DDoS anvisierte Ziel der Hacker gewesen. Fast 60 Prozent der Ziele lagen in den Vereinigten Staaten, gefolgt von Europa (19 Prozent) und Ostasien (sechs Prozent). Auch beim Ursprung der Angriffe liegen die USA vorn. 29 Prozent der DDoS-Attacken von Januar bis Juni 2021 gingen von den Staaten aus, dicht gefolgt von China mit 28 Prozent. Mit einigem Abstand folgen Attacken unbekannter Herkunft (sieben Prozent) und aus Russland (drei Prozent).