【问题标题】:DDoS attack mitigation on Azure infrastructureAzure 基础架构上的 DDoS 攻击缓解
【发布时间】:2017-04-14 21:37:08
【问题描述】:

我有一个托管在 Azure 预配虚拟机 (Ubuntu OS) 上的基于 Django 的 Web 应用程序。我的应用最近遭遇了 DDoS 攻击,我们对此束手无策。

问题在于,一旦流量到达服务器 - 即使它在防火墙处被阻止或在我的网络服务器中受到限制 - 流量已经在消耗我的网络带宽。我对此无能为力。这需要在为我的服务器提供服务的路由设备中“上游”阻止。

Azure 可以为我提供任何 DDoS 保护吗?或者至少,就如何部署我的应用程序提出建议,使其更能抵抗这些攻击?请指教。

【问题讨论】:

    标签: azure


    【解决方案1】:

    目前,Azure 在网络级别提供 DDOS 保护,但不在应用程序级别。因此,例如,如果您收到一堆 ACK 请求,则应该由平台本身阻止。

    对于应用级 DDOS 保护,您需要考虑上游提供商,例如 Incapsula 或 Silverline。集成它们非常容易。示例见https://www.incapsula.com/blog/how-to-add-incapsula-to-your-microsoft-azure-instance.html

    基本上,您将设置 Incapsula 并使用 Web 应用程序的 DNS 标签 (something.azurewebsites.net) 对其进行配置。然后,您的 DNS (www.domain.com) 将指向 incapsula 服务,其余的将由他们处理。

    请注意,将 DDOS 与服务分开仍然允许对服务本身进行攻击(即:如果有人点击 something.azurewebsites.net,那么 Incapsula 将不会保护此流量)。

    希望有帮助!

    【讨论】:

    • 对此不熟悉,我需要澄清一下 ACK 请求。我假设您指的是所谓的 SYN-ACK 洪水?我如何专门通过各种日志来确定这是否是我们遭受的 DDoS 攻击类型?
    • 默认情况下操作系统不会记录大多数“不完整的 tcp 握手”类型的 ddos​​ 攻击。我想我的问题是你怎么知道你经历了 ddos​​ 攻击?
    • Azure 现在拥有 Application Gateway 的 WAF 部分,可用于前端 Web 流量,并在应用程序级别保护 DoS 攻击和 OWASP top 10(如 XSS、CSRF 和 SQL 注入) docs.microsoft.com/en-us/azure/application-gateway/…
    • @CtrlDot:每秒请求数突然激增(大约是我所经历的最高请求的 10 倍),网络 I/O 升级,随后来自匿名来源的消息声称对此负责。
    • 如果您看到的是 http 请求,那么这是应用级别的攻击。封装将是要走的路
    【解决方案2】:

    首先:Azure 允许 IP 白名单(或黑名单),因此您可以将恶意 IP 地址添加到传入流量的阻止列表(例如端口 80/443)。您可以通过编程方式修改 IP 地址/范围。这应该可以防止流量访问您的网络应用程序。 注意:这是特定于您正在使用的 Azure 虚拟机的。

    第二:Azure 提供 Azure 安全中心,旨在检测 DoS 攻击、入侵攻击等。不是说它解决了你的问题,但它可以用来提醒你问题。

    【讨论】:

      【解决方案3】:

      使用 incapsula 将是您的正确答案,因为 incapsula 会隐藏您的原始 ip 并在攻击到达 Azure 之前缓解攻击。

      此外,它还提供 CDN 和缓存,帮助我们节省 AWS 上的带宽成本,让我们的应用程序运行得更快。

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 2017-02-21
        • 1970-01-01
        • 2017-07-11
        • 2015-03-09
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        相关资源
        最近更新 更多