Azure

通過 RDP 進行 Azure VM DDOS 攻擊

  • June 21, 2017

昨天我在 Azure 上的 VM 受到了 DOS 攻擊。症狀是我無法通過 RDP 連接,除非伺服器剛剛重新啟動,並且僅在重新啟動後的一小部分時間內。成功連接後,使用 netstat 我注意到來自台灣 IP 地址的大約 50 次 RDP 連接試驗(使用伺服器的人來自意大利)。因此,我在 Azure 門戶(傳入安全規則)中阻止了該特定 IP 地址,我的伺服器又回到了正軌。

問題是:Azure 是否預設包含 DDOS 攻擊防護系統,不是嗎?我可以在 Azure 中配置任何額外的元素來防止這些問題嗎?因為目前,我只禁止一個IP地址(昨天的攻擊者)。

非常感謝你,法比奧

Microsoft Azure 網路安全白皮書告訴您需要了解的有關保護您的 Azure VM 的大部分內容。第 2.2 章安全管理和威脅防禦a 具有 針對 DDoS 的防護(第 11 頁)。雖然 Microsoft 提供了 DDoS 防禦系統,但存在自動化無法處理的威脅:

應用層攻擊。這些攻擊可以針對客戶虛擬機發起。Azure 不提供緩解或主動阻止影響單個客戶部署的網路流量,因為基礎結構不會解釋客戶應用程序的預期行為。在這種情況下,類似於本地部署,緩解措施包括:

  • 在負載平衡的公共 IP 地址後面執行多個 VM 實例。
  • 使用諸如 Web 應用程序防火牆 (WAF) 之類的防火牆代理設備來終止並將流量轉發到在 VM 中執行的端點。這提供了一些針對廣泛的 DoS 和其他攻擊的保護,例如低速率、HTTP 和其他應用層威脅。一些虛擬化解決方案,例如 Barracuda Networks,可以同時執行入侵檢測和防禦。
  • 防止某些 DoS 攻擊的 Web 伺服器外掛。
  • 網路 ACL,可以防止來自特定 IP 地址的數據包到達虛擬機。

如果客戶確定他們的應用程序受到攻擊,他們應立即聯繫 Azure客戶支持以獲得幫助。Azure 客戶支持人員優先考慮這些類型的請求。

可能對您的 RDP 的攻擊實際上是一種看起來像 DDoS的**強力密碼攻擊。**事實上,僅阻止一個 IP 地址就足夠了,這實際上使得這是一種拒絕服務攻擊,而沒有領先的Distributed,這使得這成為最有可能的情況。雖然強密碼和帳戶鎖定策略可防止訪問系統,但它們無法抵禦 DDoS。(請參閱蠻力 RDP 攻擊取決於您的錯誤。)

最簡單的解決方案是禁用到伺服器的直接 RDP。除非您實際上通過 RemoteApp 或類似方式提供一些 SaaS 應用程序,即您僅使用 RDP 進行管理,否則阻止直接 RDP 訪問並僅在 VPN 連接內使用 RDP 將防止此類攻擊;攻擊的目的是入侵而不是拒絕服務,您的 VPN 不太可能成為下一個目標。即使是這樣,Azure DDoS 防禦系統也更容易檢測和阻止。

引用自:https://serverfault.com/questions/856991