你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure DDoS 防护可缓解的攻击类型
Azure DDoS 防护可以缓解以下攻击类型:
容量耗尽攻击:这些攻击的目标是借助大量看似合法的流量涌入网络层。 其中包括 UDP 洪水、放大洪水以及其他欺骗性数据包洪水。 借助 Azure 的全球网络规模,DDoS 防护通过自动吸收和清理这些潜在的数千兆字节攻击,从而缓解这些攻击。 下表中列出了常见的攻击类型。
攻击类型 描述 ICMP 淹没攻击 向目标发送大量 ICMP 回显请求 (ping) 数据包,从而导致中断。 IP/ICMP 碎片 利用 IP 数据包碎片向目标发送大量碎片化数据包。 IPsec 淹没攻击 使用 IPsec 数据包淹没目标,从而压垮处理能力。 UDP 淹没攻击 将大量 UDP 数据包发送到随机端口,从而导致资源耗尽。 反射放大攻击 使用第三方服务器放大针对目标的攻击流量。 协议攻击:这些攻击通过利用第 3 层和第 4 层协议堆栈中的漏洞,使目标无法访问。 其中包括 SYN 淹没攻击、反射攻击和其他协议攻击。 DDoS 防护通过与客户端交互来区分恶意流量和合法流量并阻止恶意流量,从而缓解这些攻击。 下表中列出了常见的攻击类型。
攻击类型 描述 SYN 淹没攻击 利用 TCP 握手过程向目标发送大量连接请求。 碎片化数据包攻击 向目标发送碎片化数据包,从而导致重新组装期间资源耗尽。 死亡之 Ping 发送格式不正确或超大的数据包,以导致目标系统崩溃或不稳定。 蓝精灵攻击 利用网络设备使用 ICMP 回显请求向目标发送大量流量。 资源(应用程序)层攻击:这些攻击以 Web 应用程序数据包为目标来中断主机之间的数据传输。 其中包括 HTTP 协议冲突、SQL 注入、跨站脚本和其他第 7 层攻击。 使用 Azure 应用程序网关 Web 应用程序防火墙等 Web 应用程序防火墙以及 DDoS 防护可提供对这些攻击的防御。 Azure 市场中还提供了第三方 Web 应用程序防火墙产品。 下表中列出了常见的攻击类型。
攻击类型 描述 BGP 劫持 涉及通过破坏 Internet 路由表来控制一组 IP 地址。 Slowloris 使许多与目标 Web 服务器的连接保持打开状态,并尽可能长时间地保持打开状态。 慢速 Post 发送不完整的 HTTP POST 标头,导致服务器等待其余数据。 慢速读取 从服务器缓慢读取响应,导致服务器使连接保持打开状态。 HTTP(/s) 淹没攻击 利用 HTTP 请求对目标进行淹没攻击,击垮服务器的响应能力。 低速和慢速攻击 使用很少连接来缓慢发送或请求数据,从而逃避检测。 大型有效负载 POST 在 HTTP POST 请求中发送大型有效负载以耗尽服务器资源。