Tipos de ataques atenuados pela Proteção contra DDoS do Azure
A Proteção contra DDoS pode atenuar os tipos de ataques a seguir:
Ataques volumétricos: esses ataques inundam a camada de rede com uma quantidade significativa de tráfego, aparentemente legítimo. Incluem inundações de UDP, inundações de amplificação e outras inundações de pacotes falsificados. A Proteção contra DDoS atenua esses ataques de potencialmente vários gigabytes absorvendo-os e depurando-os com a escala de rede global do Azure de forma automática. Os tipos de ataque comuns são listados na tabela a seguir.
Tipo de ataque Descrição Inundação de ICMP Sobrecarrega o destino com pacotes de solicitação de eco ICMP (ping), causando uma interrupção. Fragmentação de IP/ICMP Explora a fragmentação de pacotes IP para sobrecarregar o destino com pacotes fragmentados. Inundação de IPsec Inunda o destino com pacotes IPsec, sobrecarregando a capacidade de processamento. Inundação de UDP Envia um grande número de pacotes UDP para portas aleatórias, causando o esgotamento de recursos. Ataque de amplificação de reflexão Usa um servidor de terceiros para amplificar o tráfego de ataque ao destino. Ataques de protocolo: esses ataques renderizam um destino inacessível explorando uma vulnerabilidade na pilha de protocolos das camadas 3 e 4. Incluem ataques de inundação SYN, ataques de reflexão e outros ataques de protocolo. A Proteção contra DDoS atenua esses ataques diferenciando entre o tráfego mal-intencionado e o legítimo, interagindo com o cliente e bloqueando o tráfego mal-intencionado. Os tipos de ataque comuns são listados na tabela a seguir.
Tipo de ataque Descrição Ataque flood de SYN Explora o processo de handshake TCP para sobrecarregar o destino com solicitações de conexão. Ataque de pacote fragmentado Envia pacotes fragmentados para o destino, causando o esgotamento de recursos durante a remontagem. Ping da morte Envia pacotes malformados ou superdimensionados para falhar ou desestabilizar o sistema de destino. Ataque de smurf Usa solicitações de eco ICMP para inundar o destino com o tráfego, explorando os dispositivos de rede. Ataques de camada de recursos (aplicativo): esses ataques são direcionados a pacotes de aplicativo Web para interromper a transmissão de dados entre os hosts. Incluem violações de protocolo HTTP, injeção de SQL, scripts entre sites e outros ataques de camada 7. Use um Firewall de Aplicativo Web, como o firewall do aplicativo Web do Gateway de Aplicativo do Azure, bem como a Proteção contra DDoS para fornecer proteção contra esses ataques. Também há ofertas de firewall do aplicativo Web de terceiros disponível no Azure Marketplace. Os tipos de ataques comuns são listados na tabela a seguir.
Tipo de ataque Descrição Sequestro de BGP Envolve assumir o controle de um grupo de endereços IP corrompendo tabelas de roteamento da Internet. Slowloris Mantém muitas conexões com o servidor Web de destino abertas e as mantém abertas o máximo possível. POST lento Envia cabeçalhos HTTP POST incompletos, fazendo com que o servidor aguarde o restante dos dados. Leitura lenta Lê as respostas do servidor lentamente, fazendo com que o servidor mantenha a conexão aberta. Inundações de HTTP(/s) Inunda o destino com solicitações HTTP, sobrecarregando a capacidade de resposta do servidor. Ataque baixo e lento Usa algumas conexões para enviar ou solicitar dados lentamente, evitando a detecção. POST de carga grande Envia cargas grandes em solicitações HTTP POST para esgotar os recursos do servidor.