Поделиться через


Типы атак, которые нейтрализует защита от DDoS Azure

Защита от атак DDoS Azure может снизить следующие типы атак:

  • Объемные атаки: Эти атаки заполняют сетевой слой значительным объемом трафика, который выглядит как легитимный. К ним относятся UDP-флуд, флуд с усилением и другие типы атак с использованием поддельных пакетов. Защита от атак DDoS смягчает эти потенциальные многогигабайтные атаки, поглощая и очищая их автоматически, благодаря масштабу глобальной сети Azure. Распространенные типы атак перечислены в следующей таблице.

    Тип атаки Description
    Наводнение ICMP Целевой объект перегружается пакетами ICMP Echo Request (ping), что вызывает нарушение работы.
    Фрагментация IP/ICMP Эксплуатирует фрагментацию IP-пакетов для перегрузки целевого объекта фрагментированными пакетами.
    Наводнение IPsec Заполняет целевой объект пакетами IPsec, подавляя возможности обработки.
    Наводнение UDP Отправляет большое количество пакетов UDP на случайные порты, что приводит к нехватке ресурсов.
    Атака с увеличением отражения Использует сторонний сервер для усиления трафика атаки к целевому объекту.
  • Атаки протокола пытаются ухудшить доступность целевого объекта, используя уязвимости в стеке протоколов уровней 3 и 4. К ним относятся SYN-флуд, атаки отражения и другие атаки на протоколы. Защита от атак DDoS устраняет эти атаки, различая вредоносный и законный трафик, взаимодействуя с клиентом и блокируя вредоносный трафик. Распространенные типы атак перечислены в следующей таблице.

    Тип атаки Description
    Наводнение SYN Использует процесс TCP рукопожатия для перегрузки цели с помощью запросов на подключение.
    Атака фрагментированного пакета Отправляет фрагментированные пакеты в целевой объект, что приводит к исчерпанию ресурсов во время повторной сборки.
    Ping of Death Отправляет искажённые или чрезмерно большие пакеты, чтобы завершить работу или дестабилизировать целевую систему.
    Атака Smurf Использует ICMP-запросы эхо для перегрузки целевого объекта трафиком, используя сетевые устройства.
  • Атаки уровня ресурса (приложения) направлены на пакеты веб-приложения и стремятся нарушить передачу данных между узлами. К ним относятся нарушения протокола HTTP, атаки путем внедрения кода SQL, межсайтовые сценарии и другие атаки уровня 7. Используйте брандмауэр веб-приложений, такой как брандмауэр веб-приложений Azure Шлюз приложений , и защиту от атак DDoS, чтобы обеспечить защиту от этих атак. На сайте Azure Marketplace доступны брандмауэры веб-приложения от сторонних производителей. Распространенные типы атак перечислены в следующей таблице.

    Тип атаки Description
    Угон BGP Включает контроль над группой IP-адресов путем повреждения таблиц маршрутизации в Интернете.
    Slowloris Сохраняет множество подключений к целевому веб-серверу и сохраняет их как можно дольше.
    Медленная почта Отправляет заголовки HTTP POST, которые являются неполными, что приводит к тому, что сервер будет ожидать остальных данных.
    Медленное чтение Считывает ответы с сервера медленно, заставляя сервер поддерживать открытое подключение.
    Наводнение HTTP/s Заполняет целевой объект HTTP-запросами, подавляя способность сервера реагировать.
    Низкая и медленная атака Использует несколько подключений для медленной отправки или запроса данных, избегая обнаружения.
    Большой объем POST-данных Отправляет большие полезные данные в HTTP POST-запросах, чтобы исчерпать ресурсы сервера.

Следующие шаги