昨天我在Azure上的虚拟机受到DOS攻击。 症状是我无法通过RDP进行连接,除非服务器刚刚重新启动,并且仅在重新启动后的一小部分时间。 一旦我连接成功,使用netstat,我注意到来自台湾IP地址的50个RDP连接试验(使用服务器的人来自意大利)。 因此,我阻止了Azure门户中的特定IP地址(传入的安全规则),我的服务器又回到了正轨。
问题是:Azure默认包含DDOS攻击防范系统,不是吗? Azure中是否可以configuration额外的元素来防止这些问题? 因为目前我只禁止一个IP地址(昨天的攻击者)。
非常感谢,法比奥
Microsoft Azurenetworking安全白皮书告诉大多数您需要了解有关保护Azure虚拟机的知识。 第2.2章安全pipe理和威胁防御 a具有防御DDoS的function (第11页)。 虽然微软提供了一个DDoS防御系统,但有一些威胁是自动化无法处理的:
应用层攻击。 这些攻击可以针对客户虚拟机启动。 Azure不提供缓解或主动阻止影响个别客户部署的networkingstream量,因为基础架构不能解释客户应用程序的预期行为。 在这种情况下,类似于本地部署,缓解措施包括:
- 在负载平衡的公共IP地址后面运行多个VM实例。
- 使用防火墙代理设备(如Web应用程序防火墙(WAF))终止并将stream量转发到运行在VM中的端点。 这为针对各种DoS和其他攻击(如低速率,HTTP和其他应用层威胁)提供了一些保护。 一些虚拟化的解决scheme,如梭子鱼networking,可以执行入侵检测和预防。
- Web服务器插件可以防止某些DoS攻击。
- networkingACL,可以防止某些IP地址的报文进入虚拟机。
如果客户确定其应用程序受到攻击,应立即联系Azure 客户支持以获得帮助。 Azure客户支持人员优先考虑这些types的请求。
对你的RDP的攻击可能实际上是一个强大的暴力密码攻击 ,看起来像一个DDoS。 事实上,只阻塞一个IP地址就足够了,这实际上使得这是一个拒绝服务攻击,没有领先的分布式 ,使得这是最有可能的情况。 虽然强大的密码和帐户locking策略阻止访问系统,但它们不起作用的DDoS。 (见蛮力RDP攻击取决于你的错误 。)
最简单的解决scheme是禁用直接RDP到服务器 。 除非您实际上是通过RemoteApp或类似的方式提供一些SaaS应用程序,即您只使用RDP进行pipe理,否则阻止直接RDP访问并仅在VPN连接内部使用RDP可以防止此类攻击; 攻击的目的是入侵而不是拒绝服务,你的VPN不太可能获得下一个目标。 即使这样,Azure DDoS防御系统也很容易检测和阻止。