Azure基础架构上的DDoS攻击缓解

时间:2017-04-02 20:30:41

标签: azure

我在Azure配置的虚拟机(Ubuntu OS)上托管了基于Django的Web应用程序。我的应用程序最近经历了DDoS攻击,我们对此无能为力。

问题在于,一旦流量到达服务器 - 即使它在防火墙处被阻止或在我的网络服务器中受到限制 - 流量已经消耗了我的网络带宽。我无能为力。这需要在为我的服务器提供服务的路由设备中被阻止"上游&#34 ;.

Azure可以为我提供任何DDoS保护吗?或者至少,就如何部署我的应用程序提出建议,以便它能够更好地抵御这些攻击?请指教。

3 个答案:

答案 0 :(得分:2)

目前,Azure在网络级别提供DDOS保护,但不在应用程序级别提供。因此,如果您收到一堆ACK请求,例如,这应该被平台本身阻止。

对于应用级DDOS保护,您需要考虑上游提供商,例如Incapsula或Silverline。整合它们非常容易。有关示例,请参阅https://www.incapsula.com/blog/how-to-add-incapsula-to-your-microsoft-azure-instance.html

基本上,您将设置Incapsula并使用Web应用程序的DNS标签(something.azurewebsites.net)对其进行配置。然后,您的DNS(www.domain.com)将指向incapsula服务,他们将处理剩下的工作。

请注意,将DDOS与服务分开仍然允许对服务本身进行攻击(即:如果某人遇到某些东西.azurewebsites.net,那么Incapsula将无法保护此流量)。

希望有所帮助!

答案 1 :(得分:0)

首先:Azure允许IP白名单(或黑名单),因此您可以在传入流量(例如端口80/443)上将恶意IP地址添加到阻止列表中。您可以通过编程方式修改IP地址/范围。这可以防止流量侵入您的网络应用。 注意:这是您正在使用的Azure虚拟机特有的。

第二:Azure提供Azure安全中心,旨在检测诸如DoS攻击,入侵攻击等等。不是它可以解决您的问题,但它可以用于提醒您发现问题。

答案 2 :(得分:0)

使用incapsula将是您的正确答案,因为incapsula会隐藏您的原始IP并在攻击甚至到达Azure之前缓解攻击。

此外,它还提供CDN和缓存,帮助我们节省AWS上的带宽成本,并使我们的应用程序更快地运行。