昨天,我的 Azure 虚拟机遭受了 DOS 攻击。症状是我无法通过 RDP 连接,除非服务器刚刚重新启动,而且重新启动后只能持续一小段时间。成功连接后,使用 netstat 我发现来自台湾的 IP 地址(使用该服务器的人来自意大利)进行了大约 50 次 RDP 连接尝试。因此,我在 Azure 门户中阻止了该特定 IP 地址(传入安全规则),我的服务器又恢复正常了。
问题是:Azure 默认包含 DDOS 攻击预防系统,不是吗?我可以在 Azure 中配置任何额外元素来防止这些问题吗?因为目前,我只禁止一个 IP 地址(昨天攻击者的 IP 地址)。
非常感谢,法比奥
答案1
Microsoft Azure 网络安全白皮书告诉您有关保护 Azure VM 所需的大部分信息。第 2.2 章安全管理和威胁防御有 防范 DDoS(第 11 页)。虽然 Microsoft 提供了 DDoS 防御系统,但仍存在自动化无法处理的威胁:
应用程序层攻击。这些攻击可以针对客户 VM 发起。Azure 不提供缓解措施或主动阻止影响单个客户部署的网络流量,因为基础结构不会解释客户应用程序的预期行为。在这种情况下,与本地部署类似,缓解措施包括:
- 在负载平衡的公共 IP 地址后面运行多个 VM 实例。
- 使用防火墙代理设备(例如 Web 应用程序防火墙 (WAF))来终止并将流量转发到在 VM 中运行的端点。这可以在一定程度上防止各种 DoS 和其他攻击,例如低速率、HTTP 和其他应用程序层威胁。一些虚拟化解决方案(例如 Barracuda Networks)可以同时执行入侵检测和预防。
- 可防御某些 DoS 攻击的 Web 服务器附加组件。
- 网络 ACL,可以阻止来自特定 IP 地址的数据包到达虚拟机。
如果客户确定其应用程序受到攻击,他们应该联系 Azure客户支持立即获得帮助。 Azure 客户支持人员会优先处理这些类型的请求。
针对你的 RDP 的攻击可能实际上是强力密码攻击这看起来像是 DDoS。事实上,只阻止一个 IP 地址就足够了,这实际上使它成为一个拒绝服务进攻,没有领先分散式,这是最有可能的情况。虽然强密码和账户锁定策略可以防止访问系统,但它们无法抵御 DDoS。(见暴力 RDP 攻击取决于你的错误。
最简单的解决办法是禁用直接 RDP 到服务器。除非您实际上通过 RemoteApp 或类似方式提供某些 SaaS 应用程序,即您仅使用 RDP 进行管理,否则阻止直接 RDP 访问并仅在 VPN 连接内使用 RDP 可以防止此类攻击;攻击的目的是入侵而不是拒绝服务,您的 VPN 不太可能成为下一个目标。即使如此,Azure DDoS 防御系统也更容易检测和阻止。