问题标签 [azure-ddos]

我正在 Microsoft Azure 中运行企业级应用程序。我想知道 Microsoft Azure 中 DDOS 投影的建议是什么。该文档明确指出该平台受到 DDOS 的保护，但没有提供更多详细信息。我对 Azure DDOS 的理解是

• 如果另一个客户受到 DDOS 攻击，您的应用程序不会受到影响
• 如果您的应用程序受到 DDOS 攻击，Microsoft 将停止与您的端点的所有连接，并实际上关闭您的服务。

基于这种理解，我宁愿阻止来自特定 IP/IPS 集的连接，而不是关闭整个应用程序。

我是否更适合使用像 Incapsula 这样的产品来防御 DDOS？

Purely hypothetical here, but I have been dealing with (accidental) DDoS attacks on one of our web servers in the recent past, and was always curious what would happen if you completely opened the flood gates.

Obviously, anything hosted on that particular web server instance would come to a grinding halt, and our best bet to (relatively) quickly mitigate the issue would be to completely kill the app service plan, and roll up a new one from scratch (making absolutely sure it didn't end up with the same IP address).

Aside from that, what would be a good way to mitigate an "attack" like this, particularly in an Azure App Service environment? Would you be able to inspect the appropriate headers and dump the traffic prior to the web server handling the request? Is this something that can be handled by Traffic Manager?

I know Azure has some built-in DDoS prevention, but I think something like this scenario would be nearly impossible to mitigate, as the traffic will be coming from everywhere.

Thanks in advance!

Azure DDOS 标准版能否保护云服务 Web 角色？

我的理解是 Azure DDOS 保护是基于虚拟网络的，云服务只能部署到虚拟网络“经典”，而不是较新的资源组类型（除非已经改变？）。我找不到关于 DDOS 标准是否适用于经典虚拟网络的信息。

我们也可以将站点迁移到应用服务。但是关于这些是否受支持的信息也很少。任何启蒙都会受到欢迎。

（这不是企业应用程序，因此企业级解决方案是行不通的......）

嗨，我已经在 Angular 5 中开发了 Web 应用程序并托管在 azure 云中。我试图阻止 ddos​​ 附加到我的应用程序。我在 web.config 中添加了以下代码。

现在我想通过并发调用这个应用程序来测试我的应用程序。我这里有两件事。目前我还没有将最新的代码部署到天蓝色，所以我的公共站点中没有上述更改。我正在尝试通过发送并发请求在本地主机中进行测试，因为ping http://localhost:1148/ -t -l 65000当我这样做时，我得到 ping 请求找不到主机错误即将到来。有人可以帮助我进行 ddos​​ 攻击吗？我也尝试像上面那样公开网站，并且弹出相同的错误。有人可以帮助我进行攻击吗？任何帮助，将不胜感激。谢谢你。

嗨，我已经在 Angular 中开发了 SPA Web 应用程序。我正在使用 VS2017，我正在使用 MVC 模板。我已经在 azure 中部署了我的应用程序。我的项目也有一些服务器端代码。我添加了以下策略来限制对我的 Web 应用程序的并发请求。下面是我在 web.config 中添加的代码。我在 localhost:1148 运行我的项目

我想测试在 localhost 中应用的上述规则。我想知道是否可以在 localhost 中测试上述规则？当有超过 4 个并发请求时，O 想要显示禁止。有人可以帮我测试一下吗？任何帮助，将不胜感激。谢谢

我有一个 Azure 逻辑应用程序，它提供了一个可公开访问的 HTTPS URL 来触发 Azure 逻辑应用程序。逻辑应用执行大量数据操作等，然后将响应发送回请求者。这运作良好，但如果有人故意调用此 HTTPS URL（即：DDOS 攻击或类似的东西），我担心会增加成本

阻止这种情况的最佳方法是什么？我知道 Azure 的限制是每 5 分钟运行 100 000 次，但仍然很快就会增加。有没有更好的方法来设置一个门槛来阻止这种情况？我有一些想法：

1. 创建指标警报并调用另一个 Azure 逻辑应用以禁用重复调用的打开逻辑应用。但我似乎无法让它发挥作用。
2. 使用流量管理器或类似的东西来管理一些限制或阈值，但也不确定这将如何工作。

任何建议或想法都会非常有帮助。Logic App 的吞吐量会相对较低，任何超过 5000 次呼叫在 10 分钟内都将超出正常范围。出于这个原因，成本相对较低，而且 Azure DDOS 保护之类的东西太贵了。因此，该方法肯定需要具有成本效益。

根据我的测试，Azure 网络安全组 (NSG) 状态防火墙会阻止所有（UDP 和 TCP）反射 DDoS 攻击吗？我通过以编程方式创建一个 NSG 传入 tcp 端口 80,443 允许规则来进行测试。这就是我需要做的一切吗？（我认为答案是肯定的）。

顺便说一句，这是反射 DDoS 攻击的示例。客户端 1 是僵尸网络的一部分，它伪装成受害者的源 IP 地址。客户端 1 然后将这个精心制作的恶意数据包发送给一个无辜的第三方，例如运行 UDP 端口 53 DNS 服务器。第 3 方服务器回复，但回复到受害服务器（因为源 IP 地址被欺骗）。

我正在创建一个具有以下结构的标准多租户站点：

• 例子.com
• 租户1.example.com
• 租户2.example.com

托管是 Azure Web 应用程序。租户是动态生成的（可能有很多），并且站点包含实时组件，因此使用 Azure SignalR。该站点将具有通配符 SSL/TLS 证书以启用子域结构。

与其直接访问某个区域的应用程序服务，我更愿意在其前面放置一个负载均衡器，并将流量路由到区域集群，甚至可能是大型客户端的隔离实例。拥有这些东西内置的 DDOS 保护也是一件好事。

Azure Front Door是我的第一次调查，它可以处理通配符证书，但不支持 SignalR。

应用程序网关是我的下一个调查，它可以处理 SignalR，但不支持通配符证书。

就 DDOS 攻击而言，我们似乎可以直接在 Web 应用程序上启用某种形式的保护。但是，对我来说，这似乎会抑制攻击而不是提供（低成本）保护，因为我相信负载均衡器会。

请问这种情况如何负载均衡？

我已经使用标准（付费）实现了 Azure DDos，还设置了警报。但是我的服务器受到了 45,000 次攻击，并且没有收到任何与之相关的警报。谁能告诉我在哪里犯了任何错误或留下了与 DDos 相关的配置。让我清楚我到目前为止所做的配置：-

• 配置DDos 保护计划
• 转标准
• 还要在其IP上配置与 DDos 相关的诊断设置
• 在带有Sev-1的Azure Monitor上设置警报

我正在开发托管在 Azure 中的项目，该项目在后台使用 Azure 服务，例如设备配置服务和 SignalR。所以，问题很简单——如何减轻对 Azure SignalR 和设备预配服务的 DDOS 攻击？Azure 提供 DDOS 保护服务，但不支持这些服务。