Typer av attacker som Azure DDoS Protection minimerar
Azure DDoS Protection kan minimera följande typer av attacker:
Volymriska attacker: Dessa attacker översvämmar nätverksskiktet med en betydande mängd till synes legitim trafik. De omfattar UDP-översvämningar, förstärkningsfloder och andra falska paketöversvämmningar. DDoS Protection minimerar dessa potentiella attacker med flera gigabyte genom att absorbera och rensa dem, med Azures globala nätverksskala, automatiskt. Vanliga attacktyper visas i följande tabell.
Attacktyp Beskrivning ICMP-översvämning Överbelastar målet med ICMP Echo Request-paket (ping), vilket orsakar störningar. IP/ICMP-fragmentering Utnyttjar fragmentering av IP-paket för att överbelasta målet med fragmenterade paket. IPsec-översvämning Översvämmar målet med IPsec-paket, vilket överbelastar bearbetningsfunktionen. UDP-översvämning Skickar ett stort antal UDP-paket till slumpmässiga portar, vilket orsakar resursöverbelastning. Reflektionsförstärkningsattack Använder en tredjepartsserver för att förstärka attacktrafiken mot målet. Protokollattacker: Dessa attacker gör ett mål otillgängligt genom att utnyttja en svaghet i layer 3- och layer 4-protokollstacken. De omfattar SYN-översvämningsattacker, reflektionsattacker och andra protokollattacker. DDoS Protection minimerar dessa attacker, skiljer mellan skadlig och legitim trafik, genom att interagera med klienten och blockera skadlig trafik. Vanliga attacktyper visas i följande tabell.
Attacktyp Beskrivning SYN-översvämning Utnyttjar TCP-handskakningsprocessen för att överbelasta målet med anslutningsbegäranden. Fragmenterad paketattack Skickar fragmenterade paket till målet, vilket orsakar resursöverbelastning under återmonteringen. Ping av döden Skickar felaktiga eller överdimensionerade paket för att krascha eller destabilisera målsystemet. Smurf Attack Använder ICMP-ekobegäranden för att översvämma målet med trafik genom att utnyttja nätverksenheter. Resurs(program)-lagerattacker: Dessa attacker riktar sig mot webbprogrampaket för att störa överföringen av data mellan värdar. De omfattar HTTP-protokollöverträdelser, SQL-inmatning, skript för flera platser och andra layer 7-attacker. Använd en brandvägg för webbprogram, till exempel Azure Application Gateway-brandväggen för webbprogram, och DDoS Protection för att skydda mot dessa attacker. Det finns även brandväggserbjudanden från tredje part på Azure Marketplace. Vanliga attacktyper visas i följande tabell.
Attacktyp Beskrivning BGP-kapning Innebär att ta kontroll över en grupp MED IP-adresser genom att skada Internetroutningstabeller. Slowloris Håller många anslutningar till målwebbservern öppna och håller dem öppna så länge som möjligt. Långsamt inlägg Skickar HTTP POST-huvuden som är ofullständiga, vilket gör att servern väntar på resten av data. Långsam läsning Läser svar från servern långsamt, vilket gör att servern håller anslutningen öppen. HTTP(/s) Översvämning Översvämmar målet med HTTP-begäranden, vilket överbelastar serverns förmåga att svara. Låg och långsam attack Använder några anslutningar för att långsamt skicka eller begära data och undvika identifiering. Stor nyttolast POST Skickar stora nyttolaster i HTTP POST-begäranden till avgaser serverresurser.