Поделиться через

Типы атак Защиты от атак DDoS Azure

  • Статья

Защита от атак DDoS Azure может снизить следующие типы атак:

  • Объемные атаки заполняют сетевой уровень значительным объемом сетевого трафика, который очень похож на обычный. К ним относятся UDP-флуд, заполнение с усилением и другие типы заполнения с использованием поддельных пакетов. Защита от атак DDoS устраняет эти потенциальные атаки с несколькими гигабайтами, поглощая и очищая их при автоматическом масштабировании глобальной сети Azure. Распространенные типы атак перечислены в следующей таблице.

    Тип атаки Description
    Наводнение ICMP Перегружен целевой объект с помощью пакетов запроса на эхо-запрос ICMP (ping), что приводит к нарушению работы.
    Фрагментация IP/ICMP Эксплуатирует фрагментацию IP-пакетов для перегрузки целевого объекта с фрагментированных пакетов.
    Наводнение IPsec Заполняет целевой объект пакетами IPsec, подавляя возможности обработки.
    Наводнение UDP Отправляет большое количество пакетов UDP на случайные порты, что приводит к нехватке ресурсов.
    Атака с увеличением отражения Использует сторонний сервер для усиления трафика атаки к целевому объекту.

  • Атаки протокола пытаются ухудшить доступность целевого объекта, используя уязвимости в стеке протоколов уровней 3 и 4. К ним относятся SYN-флуд, атаки отражения и другие атаки на протоколы. Защита от атак DDoS устраняет эти атаки, различая вредоносный и законный трафик, взаимодействуя с клиентом и блокируя вредоносный трафик. Распространенные типы атак перечислены в следующей таблице.

    Тип атаки Description
    Наводнение SYN Использует процесс подтверждения TCP для перегрузки целевого объекта с помощью запросов на подключение.
    Атака фрагментированного пакета Отправляет фрагментированные пакеты в целевой объект, что приводит к исчерпанию ресурсов во время повторной сборки.
    Ping of Death Отправляет неправильные или переформатированные пакеты, чтобы завершить работу или дестабилизировать целевую систему.
    Атака Smurf Использует запросы на эхо ICMP для наводнения целевого объекта с трафиком путем использования сетевых устройств.

  • Атаки уровня ресурса (приложения) направлены на пакеты веб-приложения и стремятся нарушить передачу данных между узлами. К ним относятся нарушения протокола HTTP, атаки путем внедрения кода SQL, межсайтовые сценарии и другие атаки уровня 7. Используйте Брандмауэр веб-приложений, например брандмауэр веб-приложения Azure Шлюз приложений и защиту от атак DDoS, чтобы обеспечить защиту от этих атак. На сайте Azure Marketplace доступны брандмауэры веб-приложения от сторонних производителей. Распространенные типы атак перечислены в следующей таблице.

    Тип атаки Description
    Угон BGP Включает контроль над группой IP-адресов путем повреждения таблиц маршрутизации в Интернете.
    Медленная лорис Сохраняет множество подключений к целевому веб-серверу и сохраняет их как можно дольше.
    Медленный пост Отправляет заголовки HTTP POST, которые являются неполными, что приводит к тому, что сервер будет ожидать остальных данных.
    Медленное чтение Считывает ответы с сервера медленно, что приводит к открытию подключения.
    Наводнение HTTP/s Заполняет целевой объект HTTP-запросами, подавляя способность сервера реагировать.
    Низкая и медленная атака Использует несколько подключений для медленной отправки или запроса данных, избегая обнаружения.
    Большое количество полезных данных POST Отправляет большие полезные данные в HTTP POST-запросах на исчерпание ресурсов сервера.

Следующие шаги