[o1] pcfan am 12.10. 13:59
+8
-3
noch wichtiger: wer stand hinter diesem angriff?...
und interessant wäre auch noch welcher kunde betroffen war...
aber da man sicher letzteres geheimhalten will, wird auch ersteres nicht verraten....
und interessant wäre auch noch welcher kunde betroffen war...
aber da man sicher letzteres geheimhalten will, wird auch ersteres nicht verraten....
@Rulf: Ja, hätte mich auch mal interessiert, aber verständlich, wenn die das nicht rausrücken wollen (zumindest der betroffene Kunde nicht).
Naja, "abgewehrt". Am Ende muss der Inbound das verarbeiten können, selbst wenn er dann filtert und das innere Netz schützen kann. "Abgewehrt" ist da sehr relativ, am Ende hilft gegen DDoS nur Bandbreite - Solange man nicht beim benachbarten AS anrufen und die einem das wegfiltern.
[re:1] Nunk-Junge am 12.10. 15:40
@DRMfan^^: Kein einzelnes System der Welt kann so einen Angriff abwehren. Das funktioniert nur mit geographischer Verteilung. So konnte den bisher größten Angriff damals auch Amazon abwehren.
@Nunk-Junge: Wenn in dein Rechenzentrum am Inbound diese Datenmenge ankommt, dann schafft die Leitung das entweder oder eben nicht. Da kann man nichts "abwehren". Selbst wenn dein Router die Pakete von Evil.ip verwirft, so muss er sie doch erstmal annehmen und erkennen, bevor er sie wegwerfen kann. Wie sonst soll das gehen?
@DRMfan^^: Die Daten kommen nicht an einem Rechenzentrum an, sondern werden an das nächstgelegene Rechenzentrum des Anfragenden geleitet. Guck dir mal Cloudflare, oder Amazon CloudFront an.
@Spacerat: Auch dann hast du eine vorgeschaltete Instanz, die die eingehenden Pakete sortieren muss. Klar, wenn du allen Traffic durch Cloudflare pumpst, dann braucht nicht dein Rechenzentrum die Bandbreite, sondern Cloudflare.
Aber was meinst du "das nächstgelegene Rechenzentrum des Anfragenden" ? Wenn der Botnet-Client an time.window.com reflectet willst du die Daten in das nächste Microsoft-Rechenzentrum pumpen?
Aber was meinst du "das nächstgelegene Rechenzentrum des Anfragenden" ? Wenn der Botnet-Client an time.window.com reflectet willst du die Daten in das nächste Microsoft-Rechenzentrum pumpen?
@DRMfan^^: es wird an diesen Knotenpunkt/DC wo es ins Microsoft DC eintrudelt, "vernichtet". Also jeder Knotenpunkt von Microsofts DC wird solch eine Detection und "Vernichtungsinstanz" haben (kürzester möglicher Weg). Logisch, da sie ja sonst den evil-traffic erst um den globus zum "nächsten Vernichter" senden müssten und somit die ganze Infrastruktur belasten.
@KinCH: Ich sehe nicht, wo du "werden an das nächstgelegene Rechenzentrum des *Anfragenden* geleitet" erklärt hättest?!
@DRMfan^^: des nächst gelegenen Knoten von MS zwischen Anfragenden und Microsoft DC. So war die Aussage von spacerat gemeint. Eben der kürzeste Weg. Er meinte damit, dass der Traffic vom Anfragenden beim ersten kontakt mit der MS Infrastruktur/DC "gelöscht wird" und nicht kontinetal geroutet wird. Ggf wird noch verteilt um die Last stämmen zu können, aber pauschal wird der kürzeste Weg zur "Löschung" verwendet, dies wurde gemeint.
@KinCH: Das lese ich beim besten Willen und auch in der jetzigen Kenntnis, was es bedeuten soll, nicht aus dem Text heraus.
[re:8] Nunk-Junge am 13.10. 10:58
@DRMfan^^: Nein, Du hast ein falsches technisches Verständnis. Es gibt nicht das MS-Rechenzentrum oder eine einzelne Instanz. Wir reden hier von geographisch verteilten Netzen. Wenn in Russland ein DOS-Angriff erkannt wird, dann wird der bestenfalls bereits dort geblockt. Wenn es ein Teil eines DDOS-Angriffs ist, dann werden auch Angriffe aus Deutschland bereits dort geblockt, aus Thailand bereits dort geblockt, ... Das Netzwerk von Microsoft wird nicht über einen zentralen Punkt versorgt, sondern ist sehr verteilt. 2,4 Terabyte pro Sekunde würde einen einzelnen Netzübergangspunkt in die Knie zwingen. Microsoft nutzt auch Akamai als Dienstleister und ist darüber sehr breit aufgestellt. Siehe zum Beispiel: https://www.akamai.com/de/solutions/security/ddos-protection
@Nunk-Junge: Natürlich kommt das nicht alles über einen Kanal. Am Ende wird aber ein System angegriffen, dass in einem Rechenzentrum steht, das wiederum Inbounds hat. Natürlich leitet DC Frankfurt nicht erst an DC USA weiter, bevor es den über Frankfurt auf US-Server laufenden Angriffs(teil) verwirft, sondern am Inbound in Frankfurt. Das Prinzip bleibt dasselbe.
@DRMfan^^: das machst du es dir VIEL zu einfach. Laut deiner Logik kann ich an einen Router ja eben 2tbit anbinden und dann so einen ddos angriff anbinden. Ist aber weit gefehlt.
Bandbreite ist nur einer kleiner Teil. Hier geht es auch um Milliarden TCP sessions, eventuell sogar TLS sessions, die angefordert und verarbeitet werden müssen. Das erfordert unglaublich viel CPU Leistung. Mehr Leistung als man sich vorstellen kann und mehr als einzelne Systeme oder Cluster können. Deshalb braucht man auch ebenfalls ein riesiges und ausgeklügeltes Redundanzsystem, um die Last sinnvoll global auf viele Systeme verteilen kann.
Ich würde tippen, nur ein Handvoll Systeme auf der Welt haben die Mittel, solche angriffe anzuwehren.
Bandbreite ist nur einer kleiner Teil. Hier geht es auch um Milliarden TCP sessions, eventuell sogar TLS sessions, die angefordert und verarbeitet werden müssen. Das erfordert unglaublich viel CPU Leistung. Mehr Leistung als man sich vorstellen kann und mehr als einzelne Systeme oder Cluster können. Deshalb braucht man auch ebenfalls ein riesiges und ausgeklügeltes Redundanzsystem, um die Last sinnvoll global auf viele Systeme verteilen kann.
Ich würde tippen, nur ein Handvoll Systeme auf der Welt haben die Mittel, solche angriffe anzuwehren.
@xxMSIxx: Deinen Router (Layer 3) interessiert TCP (Layer 4) nicht. Wenn der Webserver angegriffen wird, dann kann der Router die IP blacklisten und die Datenpakete wegwerfen, bevor der Server sie verarbeiten "muss". Wenn aber die Bandbreite des Routers nicht reicht, dann ist Layer 2 schon platt und da kannst du nichts mehr abwehren, außer du ziehst ein Kabel (wenn der Angriff nur über einen von mehreren Inbound-Verbindungen rein kommt.
@DRMfan^^: naja das sage ich doch. Klar brauchst du die Bandbreite, aber im Endeffekt ist die eh egal. Azure, AWS und co. werden Anbindungen im petabit Bereich haben. Trotzdem hilft es nichts, wenn man zwar die Bandbreit hat, aber die Backend Server die Anfragen nicht verarbeiten können und schlapp machen.
@xxMSIxx: Ne. Aber wenn du die Bandbreite hast, kannst du eben stumpf IP blacklisten und gut. Das dann als "Abwehrerfolg" zu bezeichnen finde ich schon sehr hochtrabend.
[re:2] bigrandalo am 12.10. 22:08
@DRMfan^^: um das hier einmal zu beenden, du hälst dich jetzt aber auch ein einem deutschen Wort fest, welches von Winfuture so gewählt wurde. Microsoft hat nie behauptet, dass sie etwas abgewehrt hätten. Sie sprechen von abmildern, Schutz und Kontinuität gewährleisten.
Hier der Blogpost:
https://azure.microsoft.com/en-us/blog/business-as-usual-for-azure-customers-despite-24-tbps-ddos-attack/
Hier der Blogpost:
https://azure.microsoft.com/en-us/blog/business-as-usual-for-azure-customers-despite-24-tbps-ddos-attack/
@bigrandalo: Guter Hinweis - denoch: Wir diskutieren doch in den Kommentaren eines WinFuture-Artikels hier über den Winfuture-Artikel und nicht über die Primärquelle, oder?
[re:4] Nunk-Junge am 13.10. 11:03
@DRMfan^^: DDOS-Angriffe können von Hunderttausenden IPs kommen. Deine Vorstellung ist nicht geeignet und denkt in Home-Dimensionen. Große Konzerne und ihre Netze funktionieren komplett anders.
@Nunk-Junge: Stimmt, die magischen Quanten-Magic-Systeme von Magicsoft können natürlich auf überlastetem Layer 2 stabile Layer 4 Dienste bereitstellen, ganz klar. Natürlich sind die IP-Filter entsprechend lang bzw. Ranges statt einzelner Adressen, am Ende bleibt es aber dieselbe Technik. Die Bandbreiten sind natürlich höher und die Rechenpower der Router auch - halt eine andere Größenordnung, aber eigentlich dasselbe.
[re:6] Nunk-Junge am 13.10. 11:21
@DRMfan^^: Nein. Du setzt zu spät an, viel zu spät. Deine Vorstellung ist mit Strohballen eine Atombombe eindämmen zu wollen. Das geht nicht!!! Die Netzte müssen solch große Angriffe lange vorher abfangen. Es gibt keinen Micrososft-Server und keinen Microsoft-Router! Es gibt ganz viele davon, weltweit verteilt. Wenn Du www.microsoft.com aufrufst, dann landest Du nicht in Redmond, sondern nur ganz in Deiner Nähe. Wie geschrieben nutzt Microsoft den Anbieter Akamai. "Akamai stellt ein breit gefächertes und flächendeckendes Content Delivery Network (CDN) mit etwa 325.000 Servern in über 135 Ländern und fast 1.435 Netzwerken weltweit bereit." Und Microsoft selber hat mehrere Millionen Server in weltweit verteilten Rechenzentren.
@Nunk-Junge: Natürlich werden Millionen von Windows-PCS nicht von einem Server mit Updates versorgt. Auch ein Angriff auf ein CDN ist am Ende ein Angriff auf einzelne Systeme - ja, koordiniert zur selben Zeit, aber dennoch einzelne Systeme, die du hoffentlich überwachst und wenn ein Alarm kommt, dann filtert halt erstmal der vorgeschaltete Inbound. Dann kannst du deinen Dienstleister anklingeln und schaun, dass der das in seinem Netz schon filtert usw. - alles völlig offensichtlich. Warum das aber "etwas ganz anderes" sein soll, das sehe ich weiterhin nicht.
Natürlich kann man vorsorglich die Blacklist im ganzen CDN oder in allen DCs übernehmen und mit Partnern teilen, das ist sicher sinnvoll.
Natürlich kann man vorsorglich die Blacklist im ganzen CDN oder in allen DCs übernehmen und mit Partnern teilen, das ist sicher sinnvoll.
Da scheint jemand nicht mit Windows 11 zufrieden zu sein. 😂😂
So ist das, wenn man die falschen Leute verärgert. ^^
So ist das, wenn man die falschen Leute verärgert. ^^
Wer sich für die originale Quelle interessiert:
https://azure.microsoft.com/en-us/blog/business-as-usual-for-azure-customers-despite-24-tbps-ddos-attack/
...könnte man ja eigentlich auch mal mit verlinken...
https://azure.microsoft.com/en-us/blog/business-as-usual-for-azure-customers-despite-24-tbps-ddos-attack/
...könnte man ja eigentlich auch mal mit verlinken...
Ist doch eine super Werbung für Azure, ein Schelm wer Böses denkt.. Sorry, den musste ich jetzt auch mal bringen ;)
Find ich gut. MS hat also trotzdem immer noch genug "Luft" nach oben um selbst gewaltigsten DDoS Attacken was entgegenzusetzen. Heisst : MS ist ne Nummer - oder auch mehrere Nummern - zu groß für sowas, einfach zu gross für DDoS Angriffe. Zuviele Rechenzentren und das mit immer noch gigantischer Bandbreitenkapazität. Selbst wenn man die von allen Seiten und mit Gewalt "zukackt" mit Anfragen.