内容摘要：微软本周三晚间宣布，本周二全球范围内多个Microsoft 365和Azure云服务大规模长时间宕机事件的原因，是一次DDoS攻击触发了微软DDoS防护机制的“过激反应”。此次宕机影响了多个微软服务，

微软本周三晚间宣布
，防卫过当本周二全球范围内多个Microsoft 365和Azure云服务大规模长时间宕机事件的微软务原因，是云服因一次DDoS攻击触发了微软DDoS防护机制的“过激反应”。

此次宕机影响了多个微软服务 ，规模包括XBOX、宕机Microsoft Entra、防卫过当Microsoft 365及Microsoft Purview（包括Intune 、微软务Power BI和Power Platform）、云服因Azure应用服务 、规模Azure IoT Central、宕机Azure日志搜索警报、防卫过当Azure策略以及Azure门户。微软务

DDoS防护“防卫过当”

在本周三发布的云服因缓解声明中，模板下载微软表示，规模此次宕机的宕机触发因素是一次DDoS攻击
，但尚未明确追溯到特定的威胁行为者。

据安全研究机构CyberKnow透露 ，本周四凌晨黑客组织SN_blackmeta在电报频道发布了实施微软DDoS攻击的证据（下图），此外还有其他黑客也参与了针对微软云服务的DDoS攻击
。

SN_blackmeta是类似Anonymous Sudan的亲巴勒斯坦黑客组织，主要攻击目标是支持以色列的云计算美国及其盟国的基础设施和企业，具备攻击微软的能力和动机。一周前，Radware曾发布报告称SN-blackmeta针对中东某金融机构发动了一次为期六天的峰值高达1470万RPS的超大规模DDoS攻击 。

但是根据微软本周三的声明 ，真正导致微软云服务大面积长时间瘫痪的“罪魁祸首”，是微软自身的DDoS防护机制。亿华云微软表示：“初步调查表明，DDoS攻击触发了我们的DDoS防护机制 ，由于我们防御措施（例如故障转移）中的一个错误，不但没有缓解，反而放大了攻击影响
。”

此前 ，微软在宕机事件的缓解声明中表示，该事件是由“意外的使用峰值”导致Azure Front Door（AFD）和Azure内容分发网络（CDN）组件表现低于可接受的阈值 ，导致间歇性错误、超时和延迟峰值 。香港云服务器

微软计划在72小时内发布初步事故评估报告（PIR）
，并在接下来的两周内发布最终事故评估报告 ，提供更多细节以及从本周宕机中吸取的教训 。

微软云服务的“内忧外患”

近一年来，微软的云服务饱受内忧外患的折磨，宕机事件此起彼伏 。

7月早些时候 ，微软声称由于Azure配置更改的原因 ，成千上万的Microsoft 365客户经历了一次大范围的建站模板宕机。

7月中旬 ，CrowdStrike错误更新导致的全球850万台Windows设备遭遇蓝屏死机 ，被称为史上最大规模系统崩溃事件。微软云服务在该事件中也未能幸免，微软位于美国中部的Azure区域数据中心首先受到冲击，导致包括Microsoft 365在内的多项服务无法正常使用 ，影响范围从Office应用扩展至Xbox服务 。

此前
，2023年6月微软曾确认遭受了代号Anonymous Sudan（又名Storm-1359）的黑客组织发动的第七层DDoS攻击 ，使其Azure 、源码库Outlook和OneDrive门户无法访问 ，该黑客组织被认为与俄罗斯有联系（编者 ：该组织的意识形态和行为模式与此次宣称对微软DDoS攻击负责的SN_blackmeta高度相似）。

2022年7月和2023年1月，Microsoft 365服务也分别因企业配置服务（ECS）部署故障和广域网IP变更而受到重大影响。