Udostępnij za pośrednictwem

Ograniczenia ryzyka ataków usługi Azure DDoS Protection

  • Artykuł

Usługa Azure DDoS Protection może ograniczyć następujące typy ataków:

  • Ataki wolumetryczne: Ataki te zalewają warstwę sieci znaczną ilością pozornie uzasadnionego ruchu. Obejmują powodzie UDP, powodzie wzmacniania i inne powodzie fałszowane-pakiety. Usługa DDoS Protection ogranicza te potencjalne ataki wielogabajtowe przez automatyczne absorbowanie i czyszczenie ich przy użyciu globalnej skali sieci platformy Azure. Typowe typy ataków są wymienione w poniższej tabeli.

    Typ ataku Opis
    Powódź ICMP Przeciąża obiekt docelowy pakietami żądania echa ICMP (ping), powodując zakłócenia.
    Fragmentacja protokołu IP/ICMP Wykorzystuje fragmentację pakietów IP, aby przeciążyć obiekt docelowy fragmentacją pakietów.
    Powódź IPsec Zalewa cel pakietami IPsec, przeciążając możliwości przetwarzania.
    Powódź UDP Wysyła dużą liczbę pakietów UDP do losowych portów, powodując wyczerpanie zasobów.
    Atak wzmacniania odbicia Używa serwera innej firmy do wzmacniania ruchu ataku w kierunku obiektu docelowego.

  • Ataki na protokół: te ataki powodują, że obiekt docelowy jest niedostępny, wykorzystując słabość stosu protokołów warstwy 3 i warstwy 4. Obejmują one ataki przeciwpowodziowe SYN, ataki odbicia i inne ataki protokołu. Usługa DDoS Protection ogranicza te ataki, różnicując się między złośliwym i uzasadnionym ruchem, współdziałając z klientem i blokując złośliwy ruch. Typowe typy ataków są wymienione w poniższej tabeli.

    Typ ataku Opis
    SYN Flood Wykorzystuje proces uzgadniania TCP, aby przeciążyć obiekt docelowy żądaniami połączenia.
    Atak na pofragmentowany pakiet Wysyła pofragmentowane pakiety do obiektu docelowego, co powoduje wyczerpanie zasobów podczas ponownego instalowania.
    Ping śmierci Wysyła źle sformułowane lub przesyłane pakiety do awarii lub destabilizacji systemu docelowego.
    Atak Smurf Używa żądań echa ICMP, aby zapełnić obiekt docelowy ruchem przez wykorzystanie urządzeń sieciowych.

  • Ataki warstwowe zasobów (aplikacji): te ataki dotyczą pakietów aplikacji internetowych w celu zakłócenia transmisji danych między hostami. Obejmują one naruszenia protokołu HTTP, wstrzyknięcie kodu SQL, wykonywanie skryptów między witrynami i inne ataki warstwy 7. Użyj zapory aplikacji internetowej, takiej jak zapora aplikacji internetowej usługi Azure Application Gateway i usługi DDoS Protection, aby zapewnić ochronę przed tymi atakami. W witrynie Azure Marketplace są również dostępne oferty zapory aplikacji internetowej innych firm. Typowe typy ataków są wymienione w poniższej tabeli.

    Typ ataku Opis
    Przejęcie protokołu BGP Obejmuje przejęcie kontroli nad grupą adresów IP przez uszkodzenie tabel routingu internetowego.
    Slowloris Utrzymuje wiele połączeń z docelowym serwerem sieci Web otwartym i przechowuje je tak długo, jak to możliwe.
    Powolny wpis Wysyła nagłówki HTTP POST, które są niekompletne, co powoduje, że serwer czeka na resztę danych.
    Powolny odczyt Odczytuje odpowiedzi z serwera powoli, co powoduje, że serwer będzie otwarty.
    Powodzie HTTP (/s) Zalewa obiekt docelowy żądaniami HTTP, przeciążając zdolność serwera do odpowiadania.
    Niski i powolny atak Używa kilku połączeń, aby powoli wysyłać lub żądać danych, unikając wykrywania.
    Duży ładunek POST Wysyła duże ładunki w żądaniach HTTP POST do wyczerpania zasobów serwera.

Następne kroki