У відповідь на серію розподілених DDoS-атак рівня 7 Microsoft вжила швидких заходів для посилення заходів безпеки та захисту своїх клієнтів. Ці атаки, ініційовані загрозою, відомою як Storm-1359, були спрямовані на служби Microsoft, викликаючи тимчасові збої в доступності. Однак немає жодних доказів того, що дані клієнтів були скомпрометовані.
Розслідування Microsoft показало, що Storm-1359 використовує комбінацію тактик, включаючи доступ до кількох віртуальних приватних серверів (VPS), орендовану хмарну інфраструктуру, відкриті проксі та інструменти DDoS. На відміну від традиційних DDoS-атак, які зосереджуються на рівні 3 або 4, ці нещодавні атаки були спрямовані саме на рівень 7, створюючи більший виклик для пом’якшення.
Щоб протистояти цій новій хвилі атак, корпорація Майкрософт посилила захист рівня 7, налаштувавши брандмауер веб-програм Azure (WAF). Цей профілактичний захід спрямований на захист клієнтів від впливу подібних DDoS-атак. Незважаючи на те, що існуючі інструменти та методи довели високу ефективність у пом’якшенні збоїв, корпорація Майкрософт продовжує постійно вдосконалюватись.
Щоб допомогти клієнтам захистити власні середовища від подібних атак, Microsoft заохочує їх ознайомитися з наданими технічними деталями та рекомендованими діями. Впроваджуючи запропоновані заходи, клієнти можуть підвищити стійкість своїх систем і мінімізувати потенційний вплив DDoS-атак рівня 7.
Аналіз Storm-1359, проведений корпорацією Майкрософт, показав, що зловмисник володіє набором ботнетів і інструментів, здатних запускати DDoS-атаки з різних хмарних сервісів і відкритих проксі-інфраструктур. Схоже, що Storm-1359 головним чином мотивований підривом і прагне розголосу через свою діяльність.
Атаки, запущені Storm-1359, охоплюють кілька типів DDoS-атак рівня 7. До них відноситься HTTP(S) flood атака, яка переповнює системні ресурси надмірним навантаженням SSL/TLS рукостискань і HTTP(S) запитів. Крім того, Storm-1359 використовує методи обходу кешу, щоб перевантажувати вихідні сервери, надсилаючи запити до згенерованих URL-адрес, фактично обходячи рівень CDN. Ще один застосовуваний метод атаки – це Slowloris, коли зловмисник відкриває з’єднання з веб-сервером, запитує ресурс, а потім навмисно не підтверджує або не приймає завантаження. Це змушує сервер зберігати з’єднання та запитуваний ресурс у пам’яті, спричиняючи виснаження ресурсу.
Щоб пом’якшити вплив DDoS-атак рівня 7, Microsoft рекомендує клієнтам використовувати служби захисту рівня 7, такі як Azure Web Application Firewall (WAF), який доступний з Azure Front Door і Azure Application Gateway. Клієнти також повинні блокувати IP-адреси та діапазони, визначені як шкідливі, і розглянути можливість впровадження обмеження швидкості або перенаправлення трафіку ззовні або в межах певних регіонів. Створюючи власні правила WAF для автоматичного блокування та обмеження швидкості атак HTTP або HTTPS із відомими сигнатурами, організації можуть ще більше посилити свій захист від DDoS-атак рівня 7.