Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В следующих разделах описаны основные функции службы защиты от атак DDoS Azure.
Постоянный мониторинг трафика
Защита от атак DDoS Azure отслеживает фактическое использование трафика и постоянно сравнивает его с порогами, определенными в политике DDoS. При превышении порогового значения трафика автоматически начинается смягчение DDoS-атак. Когда объем трафика уменьшается ниже пороговых значений, митигация прекращается.
В процессе устранения атаки служба защиты от атак DDoS перенаправляет весь трафик, нацеленный на защищаемый ресурс, и выполняет несколько таких проверок:
- Убедитесь, что пакеты соответствуют спецификациям Интернета и не искажены.
- Взаимодействуйте с клиентом, чтобы определить, является ли трафик потенциально пакетом, замаскированным под другой (например, SYN Auth или SYN Cookie или путем сброса пакета, чтобы источник отправил его снова).
- Ограничение частоты пакетов, если другой метод применить не удается.
Защита от атак DDoS Azure блокирует трафик атаки и направляет оставшийся трафик на целевую систему. В течение нескольких минут после обнаружения атаки вы будете уведомлены с помощью метрик Azure Monitor. Настроив ведение журнала в телеметрии защиты от атак DDoS, вы можете записать журналы в доступные параметры для дальнейшего анализа. Данные метрик в Azure Monitor для защиты от атак DDoS хранятся в течение 30 дней.
Адаптивная настройка в режиме реального времени
Сложность атак (например, многовекторных атак DDoS) и поведение арендаторов, связанное с конкретными приложениями, требуют использования настраиваемых политик для каждого клиента. Служба достигает этого, используя два инсайта:
Автоматическое изучение шаблонов трафика уровня 3 и 4 для каждого клиента (по каждому общедоступному IP-адресу).
Уменьшение количества ложных срабатываний с учетом того, что масштаб Azure позволяет поглощать значительный объем трафика.
Телеметрия, мониторинг и оповещение для защиты от DDoS.
Защита от атак DDoS Azure предоставляет широкие возможности телеметрии с помощью Azure Monitor. Вы можете настроить получение оповещений для любой метрики Azure Monitor, которую использует защита от атак DDoS. Вы можете интегрировать ведение журналов со Splunk (Центрами событий Azure), журналами Azure Monitor и службой хранилища Azure для расширенного анализа через интерфейс диагностики Azure Monitor.
Политики смягчения защиты от атак DDoS в Azure
На портале Azure выберите Монитор>Метрики. На панели Метрики выберите группу ресурсов, выберите тип ресурса Общедоступный IP-адрес и свой общедоступный IP-адрес Azure. Метрики DDoS видны на панели Доступные метрики.
Защита от атак DDoS применяет три автоматически настроенных политики устранения рисков (TCP SYN, TCP и UDP) для каждого общедоступного IP-адреса защищенного ресурса в виртуальной сети с включенным DDoS. Вы можете просмотреть пороговые значения политики, выбрав метрику Inbound packets to trigger DDoS mitigation (Входящие пакеты для активации устранения рисков DDoS).
Пороговые значения политики настраиваются автоматически через профилирование сетевого трафика на основе машинного обучения. Устранение атак DDoS выполняется для атакованного IP-адреса, только если превышены пороговые значения политики.
Дополнительные сведения см. в разделе "Просмотр и настройка телеметрии защиты от атак DDoS".
Метрики для IP-адреса при атаке DDoS
Если общедоступный IP-адрес находится под атакой, значение метрики Происходит ли атака DDoS изменяется на 1, когда служба «Защита от DDoS» выполняет смягчение атаки на трафик.
Мы советуем настроить оповещение на основе этой метрики. Тогда вы будете получать уведомления о выполнении активного устранения атак DDoS на общедоступном IP-адресе.
Дополнительные сведения см. в статье «Управление защитой Azure DDoS с помощью портала Azure».
Система защиты веб-приложений от атак на ресурсы
При атаках конкретных ресурсов на уровне приложения вы должны настроить брандмауэр веб-приложения (WAF), чтобы защитить веб-приложения. WAF проверяет входящий веб-трафик, чтобы блокировать внедрения кода SQL, межсайтовые сценарии, атаки DDoS и другие атаки уровня 7. Azure предоставляет WAF как компонент Шлюза приложений для централизованной защиты веб-приложений от распространенных эксплойтов и уязвимостей. В Azure Marketplace можно найти разные предложения WAF от партнеров Azure, соответствующие вашим требованиям.
Даже брандмауэры веб-приложений подвержены объемным атакам и атакам на исчерпание состояния. Настоятельно рекомендуется включить защиту от атак DDoS на виртуальной сети WAF, чтобы защититься от объемных и протокольных атак. Дополнительные сведения см. в разделе эталонных архитектур защиты от атак DDoS Azure.
Планирование защиты
Планирование и подготовка важны для понимания работы системы во время атаки DDoS. Сюда также входит разработка плана управления реагированием на инциденты.
Если у вас есть защита от атак DDoS, убедитесь, что она включена в виртуальной сети конечных точек, подключенных к Интернету. Настройка предупреждений об атаках DDoS помогает постоянно следить за любыми потенциальными атаками, направленными на вашу инфраструктуру.
Отслеживайте свои приложения самостоятельно. и распознавать нормальное поведение приложения. Подготовьтесь действовать, если приложение во время атаки DDoS не будет вести себя так, как ожидалось.
Узнайте, как службы будут реагировать на атаку, проверив с помощью моделирования DDoS.
Следующие шаги
- Дополнительные сведения об эталонных архитектурах.