DDoS Protection は、次の型の攻撃を軽減できます:
帯域幅消費型攻撃: これらの攻撃は、膨大な量の一見正当なトラフィックをネットワーク層に送り込みます。 これには、UDP フラッド、増幅フラッド、およびその他の偽装されたパケットのフラッドが含まれます。 DDoS Protection は、Azure のグローバル ネットワーク スケールを自動的に使用し、この潜在的に数ギガバイトに及ぶ攻撃を吸収して除去し、これらの攻撃を軽減します。 一般的な攻撃の種類を次の表に示します。
攻撃の種類 説明 ICMP フラッド ICMP エコー要求 (ping) パケットでターゲットを過大な負荷をかけて、中断を引き起こします。 IP/ICMP の断片化 IP パケットの断片化を悪用して、フラグメント化されたパケットでターゲットに過大な負荷をかけます。 IPsec フラッド ターゲットに大量の IPsec パケットを送り込み、処理能力に過大な負担をかけます。 UDP フラッド 多数の UDP パケットをランダム ポートに送信し、リソース消費を引き起こします。 リフレクション アンプ攻撃 サード パーティ製サーバーを使用して、ターゲットに対する攻撃トラフィックを増幅させます。 プロトコル攻撃: これらの攻撃は、レイヤー 3 とレイヤー 4 のプロトコル スタック内の弱点を悪用して、ターゲットをアクセス不可にします。 これには、SYN フラッド攻撃、リフレクション攻撃、およびその他のプロトコル攻撃が含まれます。 DDoS Protection は、クライアント側と対話して悪意のあるトラフィックと正当なトラフィックを区別し、悪意のあるトラフィックをブロックしてこれらの攻撃を軽減します。 一般的な攻撃の種類を次の表に示します。
攻撃の種類 説明 SYN フラッド TCP ハンドシェイク プロセスを利用して、接続要求でターゲットに過大な負荷をかけます。 フラグメント化されたパケット攻撃 フラグメント化されたパケットをターゲットに送信し、再構築中にリソース消費を引き起こします。 Ping of Death 形式に誤りがあるかサイズ超過のパケットを送信して、ターゲット システムをクラッシュさせたり不安定にしたりします。 スマーフ攻撃 ICMP エコー要求を使用して、ネットワーク デバイスを悪用してターゲットに大量のトラフィックを送り込みます。 リソース (アプリケーション) レイヤー攻撃: これらの攻撃は、ホスト間のデータ転送を妨害するために Web アプリケーション パケットをターゲットにします。 これには、HTTP プロトコル違反、SQL インジェクション、クロスサイト スクリプティング、およびその他のレイヤー 7 攻撃が含まれます。 Azure Application Gateway Web アプリケーション ファイアウォールなどの Web アプリケーション ファイアウォールを DDoS Protection と共に使用して、これらの攻撃に対する防御を提供します。 Azure Marketplace ではサードパーティの Web アプリケーション ファイアウォール製品も入手できます。 一般的な攻撃の種類を次の表に示します。
攻撃の種類 説明 BGP ハイジャック インターネット ルーティング テーブルを破損させて、IP アドレスのグループを制御します。 Slowloris ターゲット Web サーバーへの多くの接続を開いたままにし、できるだけ長く開いたままにします。 Slow Post 不完全な HTTP POST ヘッダーを送信して、サーバーで残りのデータを待機させます。 Slow Read サーバーからの応答をゆっくりと読み取り、サーバーで接続が開いたままになるようにします。 HTTP(/s) フラッド ターゲットに大量の HTTP 要求を送り込み、サーバーの応答能力に過大な負荷をかけます。 ロー アンド スロー攻撃 いくつかの接続を使用してデータの送信または要求を遅くし、検出を回避します。 ペイロードの大きい POST HTTP POST 要求で大きなペイロード送信し、サーバー リソースを使い果たします。