Azure DDoS Protection によって軽減される攻撃のタイプ
DDoS Protection は、次の型の攻撃を軽減できます:
- 帯域幅消費型攻撃: これらの攻撃は、膨大な量の一見正当なトラフィックをネットワーク層に送り込みます。 これには、UDP フラッド、増幅フラッド、およびその他の偽装されたパケットのフラッドが含まれます。 DDoS Protection は、Azure のグローバル ネットワーク スケールを自動的に使用し、この潜在的に数ギガバイトに及ぶ攻撃を吸収して除去し、これらの攻撃を軽減します。
- プロトコル攻撃: これらの攻撃は、レイヤー 3 とレイヤー 4 のプロトコル スタック内の弱点を悪用して、ターゲットをアクセス不可にします。 これには、SYN フラッド攻撃、リフレクション攻撃、およびその他のプロトコル攻撃が含まれます。 DDoS Protection は、クライアント側と対話して悪意のあるトラフィックと正当なトラフィックを区別し、悪意のあるトラフィックをブロックしてこれらの攻撃を軽減します。
- リソース (アプリケーション) レイヤー攻撃: これらの攻撃は、ホスト間のデータ転送を妨害するために Web アプリケーション パケットをターゲットにします。 これには、HTTP プロトコル違反、SQL インジェクション、クロスサイト スクリプティング、およびその他のレイヤー 7 攻撃が含まれます。 Azure Application Gateway Web アプリケーション ファイアウォールなどの Web アプリケーション ファイアウォールを DDoS Protection Standard と共に使用することにより、これらの攻撃に対する防御が提供されます。 Azure Marketplace ではサードパーティの Web アプリケーション ファイアウォール製品も入手できます。
Azure DDoS Protection
Azure DDoS Protection では、仮想マシン、ロード バランサー、アプリケーション ゲートウェイに関連付けられたパブリック IP アドレスを含め、仮想ネットワーク内のリソースが保護されます。 Application Gateway Web アプリケーション ファイアウォール、またはパブリック IP がある仮想ネットワークにデプロイされたサードパーティー製の Web アプリケーション ファイアウォールと組み合わせれば、Azure DDoS Protection は、レイヤー 3 からレイヤー 7 までの完全なリスク軽減機能を提供できます。