Вчера моя виртуальная машина в Azure подверглась DOS-атаке. Симптомом было то, что мне не удавалось подключиться через RDP, если сервер не был недавно перезагружен, и только в течение небольшой части времени после перезагрузки. После того, как я успешно подключился, с помощью netstat я заметил, что было около 50 попыток подключения RDP с IP-адреса из Тайваня (люди, использующие сервер, из Италии). Таким образом, я заблокировал этот конкретный IP-адрес на портале Azure (правила безопасности входящего трафика), и мой сервер снова заработал.
Вопрос: включает ли Azure по умолчанию систему предотвращения DDOS-атак, не так ли? Могу ли я настроить в Azure какие-либо дополнительные элементы для предотвращения этих проблем? Потому что на данный момент я запрещаю только один IP-адрес (адрес вчерашнего злоумышленника).
Большое спасибо, Фабио
Технический документ по сетевой безопасности Microsoft Azure сообщает все, что вам нужно знать о защите виртуальной машины Azure. Глава 2.2 Управление безопасностью и защита от угроз есть Защита от DDoS (стр.11). Хотя Microsoft предоставляет систему защиты от DDoS-атак, есть угрозы, с которыми автоматизация не справляется:
Атаки на уровне приложений. Эти атаки могут быть запущены против виртуальной машины клиента. Azure не обеспечивает смягчение последствий и не активно блокирует сетевой трафик, влияющий на развертывание отдельных клиентов, поскольку инфраструктура не интерпретирует ожидаемое поведение приложений клиентов. В этом случае, как и при локальном развертывании, меры защиты включают:
- Запуск нескольких экземпляров ВМ за общедоступным IP-адресом с балансировкой нагрузки.
- Использование прокси-устройств межсетевого экрана, таких как межсетевые экраны веб-приложений (WAF), которые завершают и перенаправляют трафик на конечные точки, работающие на виртуальной машине. Это обеспечивает некоторую защиту от широкого спектра DoS-атак и других атак, таких как низкоскоростные, HTTP-атаки и другие угрозы на уровне приложений. Доступны некоторые виртуализированные решения, такие как Barracuda Networks, которые выполняют как обнаружение, так и предотвращение вторжений.
- Надстройки веб-сервера, защищающие от определенных DoS-атак.
- Сетевые списки управления доступом, которые могут предотвратить попадание пакетов с определенных IP-адресов на виртуальные машины.
Если клиент определяет, что его приложение подвергается атаке, ему следует связаться с Azure. Служба поддержки немедленно получить помощь. Персонал службы поддержки клиентов Azure отдает приоритет этим типам запросов.
Вероятно, атака на ваш RDP на самом деле интенсивная атака паролем грубой силы это похоже на DDoS. Тот факт, что блокировки только одного IP-адреса было достаточно, фактически делает это Отказ в обслуживании атака без ведущего Распространено, что делает этот сценарий наиболее вероятным. Хотя надежные пароли и политики блокировки учетных записей предотвращают доступ к системе, они не работают против DDoS. (Видеть Атаки методом грубой силы RDP зависят от ваших ошибок.)
Самым простым решением было бы отключить прямой RDP к серверу. Если вы на самом деле не предоставляете какое-либо приложение SaaS через RemoteApp или подобное, то есть вы используете только RDP для управления, блокировка прямого доступа RDP и использование RDP только внутри VPN-соединения предотвратит такие атаки; цель атаки - вторжение, а не отказ в обслуживании, ваша VPN вряд ли попадет в следующую цель. Даже если бы это было так, намного проще обнаружить и заблокировать систему защиты от DDoS-атак Azure.