Typen aanvallen met Azure DDoS Protection beperken
Azure DDoS Protection kan de volgende typen aanvallen beperken:
Volumetrische aanvallen: deze aanvallen overspoelen de netwerklaag met een aanzienlijke hoeveelheid schijnbaar legitiem verkeer. Ze omvatten UDP-overstromingen, amplificatie-overstromingen en andere spoofed-packet-overstromingen. DDoS Protection beperkt deze mogelijke aanvallen met meerdere gigabytes door ze automatisch op te nemen en te wissen, met de wereldwijde netwerkschaal van Azure. Veelvoorkomende aanvalstypen worden vermeld in de volgende tabel.
Aanvalstype Beschrijving ICMP-overstroming Overweldigt het doel met ICMP Echo Request-pakketten (ping) die onderbreking veroorzaken. IP/ICMP-fragmentatie Misbruikt IP-pakketfragmentatie om het doel te overbelasten met gefragmenteerde pakketten. IPsec Flood Overspoelt het doel met IPsec-pakketten, waarbij de verwerkingscapaciteit wordt overspoeld. UDP Flood Verzendt een groot aantal UDP-pakketten naar willekeurige poorten, waardoor resourceuitputting wordt veroorzaakt. Reflectieversterkingsaanval Maakt gebruik van een server van derden om het aanvalsverkeer naar het doel te versterken. Protocolaanvallen: Deze aanvallen maken een doel ontoegankelijk door misbruik te maken van een zwakke plek in de laag 3- en laag 4-protocolstack. Ze omvatten SYN-overstromingsaanvallen, reflectieaanvallen en andere protocolaanvallen. DDoS Protection beperkt deze aanvallen, differentiëren tussen schadelijk en legitiem verkeer, door interactie met de client en schadelijk verkeer te blokkeren. Veelvoorkomende aanvalstypen worden vermeld in de volgende tabel.
Aanvalstype Beschrijving SYN Flood Exploiteert het TCP-handshakeproces om het doel te overbelasten met verbindingsaanvragen. Gefragmenteerde pakketaanval Hiermee worden gefragmenteerde pakketten naar het doel verzonden, waardoor resourceuitputting wordt veroorzaakt tijdens het opnieuwassembly. Ping of Death Verzendt onjuist gevormde of oversized pakketten om het doelsysteem te crashen of te stabiliseren. Smurf-aanval Maakt gebruik van ICMP-echoaanvragen om het doel te overspoelen met verkeer door netwerkapparaten te exploiteren. Aanvallen op de bronlaag (toepassingslaag): deze aanvallen zijn gericht op webtoepassingspakketten om de overdracht van gegevens tussen hosts te verstoren. Ze omvatten schendingen van het HTTP-protocol, SQL-injectie, cross-site scripting en andere laag 7-aanvallen. Gebruik een Web Application Firewall, zoals de Firewall voor webtoepassingen van Azure Application Gateway en DDoS Protection om beveiliging tegen deze aanvallen te bieden. Er zijn ook webtoepassingsfirewallaanbiedingen van derden beschikbaar in Azure Marketplace. Veelvoorkomende typen aanvallen worden vermeld in de volgende tabel.
Aanvalstype Beschrijving BGP-hijacking Hierbij moet u de controle over een groep IP-adressen overnemen door internetrouteringstabellen te beschadigen. Slowloris Houdt veel verbindingen met de doelwebserver open en houdt deze zo lang mogelijk open. Trage post Verzendt HTTP POST-headers die onvolledig zijn, waardoor de server wacht op de rest van de gegevens. Langzaam lezen Leest reacties van de server langzaam, waardoor de server de verbinding open houdt. HTTP(s) Overstromingen Het doel wordt overspoeld met HTTP-aanvragen, wat de mogelijkheid van de server om te reageren overspoelt. Lage en langzame aanval Maakt gebruik van een paar verbindingen om gegevens langzaam te verzenden of aan te vragen, waardoor detectie wordt ontwijkd. Post grote nettolading Verzendt grote nettoladingen in HTTP POST-aanvragen om serverbronnen uit te voeren.