这里纯粹是假设,但我最近在我们的一个网络服务器上处理(意外的)DDoS攻击,并且总是很好奇如果你完全打开防洪门将会发生什么。
显然,托管在该特定Web服务器实例上的任何内容都将停止运行,我们(相对)快速缓解问题的最佳选择是彻底终止应用服务计划,并从头开始卷起新的应用服务计划(绝对确定它没有以相同的IP地址结束)。
除此之外,什么是缓解这种“攻击”的好方法,特别是在Azure App Service环境中?在Web服务器处理请求之前,您是否能够检查相应的标头并转储流量?这是交通管理员可以处理的事情吗?
我知道Azure有一些内置的DDoS防护功能,但我认为这种情况几乎无法缓解,因为流量来自各地。
提前致谢!
答案 0 :(得分:0)
对于第7层(HTTP / HTTPS);您可以在Web应用程序防火墙(WAF)模式下配置Azure应用程序网关 - 将所有流量路由到App Service环境。对于L3 / L4保护,您可以在Application Gateway的虚拟网络上配置Azure DDoS Protection Standard服务。此外,在Web应用程序设置中,确保仅通过App Gateway IP接受流量。