快出海  > 微软云  >  Azure DDoS 防护标准功能

Azure DDoS 防护标准功能

来源:Microsoft Azure
作者:Microsoft Azure
时间:2020-12-01

以下部分概述了标准Azure DDoS防护服务的重要功能。

Always on流量监视

DDoS保护标准监控实际流量利用率,并不断将其与DDoS策略中定义的阈值进行比较。当超过流量阈值时,将自动启动DDoS缓解。当流量回到阈值以下时,缓解将移除。

mitigation.png

Azure DDoS保护标准缓解措施

在风险缓解期间,DDoS保护服务重定向发送到受保护资源的流量,并执行多个检查,如以下检查:

·确保数据包符合Internet规范且格式正确。

·与客户端交互,确定该流量是否可能是欺骗性数据包(例如:SYN Auth或SYN Cookie,或者通过丢弃数据包,让源重新传输它)。

·如果没有其他可以执行的强制方法,将对数据包进行速率限制。

DDoS保护会阻止攻击流量并将剩余流量转发至其预期目的地。在检测到攻击的几分钟内,会使用Azure Monitor指标通知你。通过在DDoS保护标准遥测上配置日志记录,可将日志写入可用选项以供将来分析。Azure Monitor中DDoS保护标准的指标数据会保留30天。

自适应实时优化

Azure DDoS防护基本服务可帮助保护客户,并防止影响其他客户。例如,如果为典型的合法传入流量预配了某个服务,并且该流量小于基础结构范围DDoS防护策略的触发率,那么,针对该客户资源的DDoS攻击可能会被忽略。一般来说,最近攻击(例如多向量DDoS)的复杂性,以及租户的应用程序特定行为,要求按客户采用自定义的保护策略。该服务使用两项见解来实现这种自定义:

·自动学习每个客户(每个IP)的第3层和第4层流量模式。

·尽量减少误报,因为Azure的规模可让它吸收大量的流量。

image-5.png

标准DDoS防护工作原理示意图,其中圈住了“策略生成”

DDoS防护遥测、监视和警报

标准DDoS防护在DDoS攻击持续期间通过Azure Monitor公开丰富的遥测数据。可以针对DDoS防护使用的任何Azure Monitor指标配置警报。可以通过Azure Monitor诊断界面将日志记录与Splunk(Azure事件中心)、Azure Monitor日志和Azure存储集成,以便进行高级分析。

DDoS缓解策略

在Azure门户中,选择"监视>指标"。在“指标”窗格上,依次选择资源组、“公共IP地址”资源类型和Azure公共IP地址。DDoS指标将显示在“可用指标”窗格中。

标准DDoS防护针对已启用DDoS的虚拟网络中受保护资源的每个公共IP,应用三个自动优化的缓解策略(TCP SYN、TCP和UDP)。可以选择“触发DDoS缓解措施的入站数据包数”指标来查看策略阈值。

image-7.png

可用指标和指标图表

策略阈值是通过基于机器学习的网络流量探查自动配置的。仅当超过策略阈值时,才会对受攻击的IP地址进行DDoS缓解。

受DDoS攻击的IP地址的指标

如果公共IP地址受到攻击,则“是否受DDoS攻击”指标的值将切换为1,因为DDoS防护会针对攻击流量执行缓解措施。

image-8.png

“是否受DDoS攻击”指标和图表

我们建议对此指标配置警报。然后,在对公共IP地址执行主动的DDoS缓解措施时会收到通知。

有关详细信息,请参阅使用Azure门户管理标准Azure DDoS防护。

防范资源攻击的Web应用程序防火墙

针对应用层中发生的资源攻击,应该配置Web应用程序防火墙(WAF)来帮助保护Web应用程序。WAF会检查入站Web流量,以阻止SQL注入、跨站点脚本、DDoS和其他第7层攻击。Azure提供WAF作为应用程序网关的一项功能,以便在出现常见攻击和漏洞时为Web应用程序提供集中保护。此外,Azure合作伙伴还会通过Azure市场提供其他WAF产品/服务,它们可能更适合解决你的需求。

即使是Web应用程序防火墙这样的服务,也很容易遭受容量耗尽和状态耗尽攻击。我们强烈建议在WAF虚拟网络上启用标准DDoS防护,以帮助防范容量耗尽攻击和协议攻击。有关详细信息,请参阅DDoS防护参考体系结构部分。

保护计划

规划和准备对于了解系统在遇到DDoS攻击期间的表现至关重要。设计事件管理响应计划属于此工作的一部分。

如果使用标准DDoS防护,请确保在面向Internet的终结点的虚拟网络上启用它。配置DDoS警报有助于持续密切关注基础结构上存在的任何潜在攻击。

独立监视您的应用程序。了解应用程序的正常行为。如果应用程序在遇到DDoS攻击期间的行为不符合预期,请准备好采取措施。

通过模拟测试来了解服务如何响应攻击。

版权说明

本文内容来自于Microsoft Azure,本站不拥有所有权,不承担相关法律责任。文章内容系作者个人观点,不代表快出海对观点赞同或支持。如有侵权,请联系管理员(hj@kchuhai.com)删除!

相关文章
Azure Monitor 概述
Azure Monitor 概述
Azure Monitor提供用于收集、分析和处理来自云与本地环境的遥测数据的综合解决方案,可将应用程序和服务的可用性和性能最大化。它可以帮助你了解应用程序的性能,并主动识别影响应用程序及其所依赖资源的问题。
2天前
在 Azure 中选择适当的 MySQL Server 选项
在 Azure 中选择适当的 MySQL Server 选项
在Azure中,MySQL服务器工作负荷可以在托管的虚拟机基础结构即服务(IaaS)中运行,或者作为托管的平台即服务(PaaS)运行。在IaaS和PaaS之间选择时,必须决定是要管理数据库、应用修补程序并进行备份,还是要将这些操作委托给Azure。
2天前
Azure SQL 数据库:如何手动设置发送心跳信号防止数据库连接过期
Azure SQL 数据库:如何手动设置发送心跳信号防止数据库连接过期
应用客户端需要先通过Azure网关(Gateway)才能连接到Azure上的PaaS数据库(例如Azure SQL Database,MySQL Database on Azure等),网关连接的默认设置是四分钟,若四分钟内无数据包发送,该连接会过期。
5天前
Azure Active Directory:RBAC 如何更新已有自定义角色的可分配范围
Azure Active Directory:RBAC 如何更新已有自定义角色的可分配范围
基于角色的访问控制(RBAC)是在Azure资源管理器基础上构建的授权系统,针对Azure中的资源提供精细的访问权限管理。
5天前
Azure Active Directory:如何自定义角色属性以限制用户访问活动日志
Azure Active Directory:如何自定义角色属性以限制用户访问活动日志
管理员有时需要根据组织的需求限制Azure AD用户访问特定资源的权限,本文描述的是如何而设置RBAC role以允许用户读取Azure Monitor中除活动日志以外的所有信息。
5天前
服务商推荐 更多 >
太平洋电信股份有限公司
太平洋电信
太平洋电信为游戏、电商等客户提供低延时、高可靠的多点互联、企业上云、全球移动应用测试、主机托管等服务。通过与澳大利亚电信合作,凭借在全球丰富的海缆网络资源及多年的国际化运营经验,助力企业业务出海布局。 更多产品详情,请访问官方网站:https:www.t-pbs.com
云服务
北京云中融信网络科技有限公司
融云
融云为全球开发者和企业提供 IM即时通讯和实时音视频通信云服务,独立的海外数据中心,全球 30 万+应用的通信选择。一套 SDK 解决所有通信场景,快速集成,1天实现跨国互动,实时沟通,助力应用出海
云服务
凝视数科(北京)科技有限公司
Appstare
Apple Search Ads 代投,美国真人积分墙,FB | GG代投代运营
推广
EBANX
EBANX
EBANX是一家拥有拉丁美洲DNA的全球金融科技公司。 该公司成立于2012年,在跨境电子商务交易流程中提供端到端支付解决方案,为渴望在全世界扩展的全球商家提供100多种拉丁美洲本地支付选项。 EBANX已帮助500多家商家扩展到拉丁美洲,超过4000万拉丁美洲人获得了全球服务和产品。
支付
Lotusia 新加坡企业咨询
Lotusia 新加坡企业咨询
新加坡注册公司,开设银行账户,公司法定秘书,公司会计年审,税务咨询与合规,法定审计,企业家新加坡身份,公司咨询与新加坡相关商业服务
本地化推广
深圳哈希信息技术有限公司
哈希信息
深圳哈希信息技术有限公司成立于2018年,是国内领先的智能网络服务提供商,基于软件定义网络、下一代网络协议、大数据等技术研发面向不同行业领域的产品和解决方案,秉着“专业、创新、信任、分享“的核心价值观,致力为客户提供一个高效可靠的流量云平台。公司对外提供分发云(CDN)、加速云(动态加速)、安全云(防DDOS&云WAF)、流量云(广告交易)、边缘云、短信云等多个云产品,帮助游戏/资讯等互联网公司构建、加速和更好的保护核心业务。
云服务变现
小程序
公众号
商务合作
投稿采访
出海管家