I tipi di attacchi di Protezione DDoS di Azure attenuano
Protezione DDoS di Azure può attenuare i tipi di attacchi seguenti:
Attacchi volumetrici: questi attacchi inondano il livello di rete con una notevole quantità di traffico apparentemente legittimo. Includono UDP flood, flood di amplificazione e altri flood con pacchetti falsificati. Protezione DDoS mitiga questi attacchi con dimensioni potenziali di molti gigabyte assorbendoli e ripulendoli, sfruttando automaticamente la scalabilità della rete globale di Azure. I tipi di attacco comuni sono elencati nella tabella seguente.
Tipo di attacco Descrizione Inondazione ICMP Sovraccarica la destinazione con pacchetti Echo Request (ping) ICMP, causando interruzioni. Frammentazione IP/ICMP Sfrutta la frammentazione dei pacchetti IP per sovraccaricare la destinazione con pacchetti frammentati. IPsec Flood Inonda la destinazione con pacchetti IPsec, sovraccaricando la funzionalità di elaborazione. UDP Flood Invia un numero elevato di pacchetti UDP a porte casuali, causando l'esaurimento delle risorse. Attacco di amplificazione reflection Usa un server di terze parti per amplificare il traffico di attacco verso la destinazione. Attacchi ai protocolli: questi attacchi rendono inaccessibile una destinazione sfruttando una vulnerabilità nello stack di protocolli di livello 3 e di livello 4. Includono attacchi SYN flood, attacchi di reflection e altri attacchi ai protocolli. Protezione DDoS riduce questi attacchi, che differenzia il traffico dannoso e legittimo, interagendo con il client e bloccando il traffico dannoso. I tipi di attacco comuni sono elencati nella tabella seguente.
Tipo di attacco Descrizione SYN Flood Sfrutta il processo di handshake TCP per sovraccaricare la destinazione con le richieste di connessione. Attacco di pacchetti frammentati Invia pacchetti frammentati alla destinazione, causando l'esaurimento delle risorse durante il riassemblaggio. Ping della morte Invia pacchetti in formato non valido o sovradimensionati per arrestarsi in modo anomalo o destabilizzare il sistema di destinazione. Attacco smurf Usa richieste echo ICMP per inondare la destinazione con il traffico sfruttando i dispositivi di rete. Attacchi a livello di risorsa (applicazione): questi attacchi colpiscono i pacchetti di applicazioni Web per interrompere la trasmissione dei dati tra host. Includono violazioni del protocollo HTTP, attacchi di tipo SQL injection, scripting intersito e altri attacchi di livello 7. Usare un web application firewall, ad esempio Azure gateway applicazione web application firewall e protezione DDoS per garantire la difesa da questi attacchi. Sono disponibili anche offerte di terze parti di web application firewall nel Microsoft Azure Marketplace. I tipi di attacchi comuni sono elencati nella tabella seguente.
Tipo di attacco Descrizione Hijack BGP Implica il controllo di un gruppo di indirizzi IP danneggiando le tabelle di routing Internet. Slowloris Mantiene aperte molte connessioni al server Web di destinazione e le mantiene aperte il più a lungo possibile. Post lento Invia intestazioni HTTP POST incomplete, causando l'attesa del server per il resto dei dati. Lettura lenta Legge lentamente le risposte dal server, causando l'apertura della connessione da parte del server. Inondazione di HTTP/s Inonda la destinazione con richieste HTTP, sovraccaricare la capacità del server di rispondere. Attacco basso e lento Usa alcune connessioni per inviare o richiedere lentamente i dati, eludendo il rilevamento. POST payload di grandi dimensioni Invia payload di grandi dimensioni nelle richieste HTTP POST per esaurire le risorse del server.
Passaggi successivi
- Componenti di una strategia di risposta DDoS.