Блокирует ли брандмауэр с отслеживанием состояния группы безопасности сети Azure (NSG) все (UDP и TCP) отражающие DDoS-атаки?

Question

Блокирует ли брандмауэр с отслеживанием состояния группы безопасности сети Azure (NSG) все (UDP и TCP) отражающие DDoS-атаки?

На основе моего тестирования брандмауэр с отслеживанием состояния группы безопасности сети Azure (NSG) блокирует все (UDP и TCP) отражающие DDoS-атаки? Я выполнил свой тест, программно просто создав правило разрешения для входящего tcp-порта 80,443 NSG. Это все, что мне нужно сделать? (Думаю, да).

Кстати, вот пример отражения DDoS-атаки. Клиент 1, являющийся частью ботнета, подменяет исходный IP-адрес так, чтобы он принадлежал жертве. Затем клиент 1 отправляет этот созданный вредоносный пакет невиновной третьей стороне, которая, например, запускает DNS-сервер UDP-порта 53. Сторонний сервер отвечает, но ответ идет серверу жертвы (поскольку исходный IP-адрес был подделан).

1

firewall azure-ddos

Источник

user1660838 23 окт '19 в 21:43

1 ответ

Другие вопросы по тегам firewall azure-ddos

user12247391 23 окт '19 в 22:52 2019-10-23 22:52 · Answer 1 · 2019-10-23 22:52

Вам даже не нужен брандмауэр Azure для блокировки атак отражения, если у вас включен стандартный уровень защиты от DDoS-атак в виртуальной сети, к которой подключены ваши ресурсы, в вашем примере это DNS-сервер.

https://docs.microsoft.com/en-us/azure/virtual-network/ddos-protection-overview