DDOS-атака на виртуальную машину Azure через RDP
Вчера моя виртуальная машина в Azure подверглась DOS-атаке. Симптомом было то, что мне не удавалось подключиться через RDP, если сервер не был недавно перезагружен, и только в течение небольшой части времени после перезагрузки. После успешного подключения с помощью netstat я заметил, что было около 50 попыток подключения RDP с IP-адреса из Тайваня (люди, использующие сервер, из Италии). Таким образом, я заблокировал этот конкретный IP-адрес на портале Azure (правила безопасности входящего трафика), и мой сервер вернулся к работе.
Вопрос: включает ли Azure систему предотвращения DDOS-атак по умолчанию, не так ли? Могу ли я настроить в Azure какие-либо дополнительные элементы для предотвращения этих проблем? Потому что на данный момент я запрещаю только один IP-адрес (адрес вчерашнего злоумышленника).
Большое спасибо, Fabio
В техническом документе по сетевой безопасности Microsoft Azure вы найдете все, что вам нужно знать о защите виртуальной машины Azure. Глава 2.2 Управление безопасностью и защита от угроз имеет защиту от DDoS (стр. 11). Хотя Microsoft предоставляет систему защиты от DDoS-атак, существуют угрозы, с которыми автоматизация не справляется:
атаки на уровне приложений. Эти атаки могут быть запущены против клиентская ВМ. Azure не обеспечивает смягчение последствий или активно блокирует сетевой трафик, влияющий на развертывание отдельных клиентов, поскольку инфраструктура не интерпретирует ожидаемое поведение клиента Приложения. В этом случае, как и при локальном развертывании, меры включают:
- Запуск нескольких экземпляров виртуальных машин за общедоступным IP-адресом с балансировкой нагрузки.
- Использование прокси-устройств брандмауэра, таких как брандмауэры веб-приложений (WAF), которые завершают и перенаправляют трафик на конечные точки, работающие в ВМ. Это обеспечивает некоторую защиту от широкого спектра DoS и другие атаки, такие как низкоскоростные, HTTP и другие атаки на уровне приложений угрозы. Некоторые виртуализированные решения, такие как Barracuda Networks, доступны, которые выполняют как обнаружение, так и предотвращение вторжений.
- Надстройки веб-сервера, которые защищают от определенных DoS-атак.
- Сетевые списки контроля доступа, которые могут предотвращать попадание пакетов с определенных IP-адресов на виртуальные машины.
Если заказчик определяет, что их приложение подвергается нападкам, они следует немедленно связаться со службой поддержки клиентов Azure , чтобы получить помощь. Персонал службы поддержки клиентов Azure отдает предпочтение этим типам запросов.
Вероятно, атака на ваш RDP на самом деле представляет собой интенсивную атаку паролем , которая выглядит как DDoS. Тот факт, что блокировки только одного IP-адреса было достаточно, фактически делает эту атаку типа отказ в обслуживании без ведущего распределенного , что делает этот сценарий наиболее вероятным. Хотя надежные пароли и политики блокировки учетных записей предотвращают доступ к системе, они не работают против DDoS. (См. Атаки методом грубой силы RDP зависят от ваших ошибок .)
Самым простым решением было бы отключить прямое подключение RDP к серверу . Если вы на самом деле не предоставляете какое-либо приложение SaaS через RemoteApp или подобное, то есть вы используете только RDP для управления, блокировка прямого доступа RDP и использование RDP только внутри VPN-соединения предотвратит такие атаки; цель атаки - вторжение, а не отказ в обслуживании, ваша VPN вряд ли попадет в следующую цель. Даже если бы это было так, намного проще обнаружить и заблокировать систему защиты от DDoS-атак Azure.