У нас есть виртуальный экземпляр Microsoft Azure, и там мы установили выпуск SQL Server 2014 Express. Во время исследования проблемы мы обнаружили ниже журналы в средстве просмотра событий Windows в разделе приложений.
Не удалось войти для пользователя 401hk. Причина: не удалось найти логин, соответствующий указанному имени. [КЛИЕНТ: 220.180.111.229]
Мы заметили, что за последние 24 часа поступило около 5250 таких запросов. IP-адрес и логин меняются после некоторых запросов, и все IP-адреса (например, 220.180.111.229) относятся к Китаю. Это что-то вроде атаки SQL? Если да, то как предотвратить это в Azure (без блокировки стран)?
Любой экземпляр Azure, подключенный к общедоступному Интернету, скорее всего, столкнется с таким трафиком грубой силы, это вряд ли будет скоординированная атака против вас лично, но это будет своего рода автоматическое сканирование портов, которое ищет открытые порты в диапазоне IP-адресов и проверяет их. общие комбинации имени пользователя и пароля. Этот вид трафика особенно характерен для облачных провайдеров, поскольку они обычно публикуют список своих общедоступных IP-адресов, поэтому их легко сканировать.
Вы можете смягчить это, используя NSG для ограничения трафика в вашу виртуальную сеть.