Azure DDoS 防护可缓解的攻击类型

Azure DDoS 防护可以缓解以下攻击类型：

• 容量耗尽攻击：这些攻击的目标是借助大量看似合法的流量涌入网络层。 其中包括 UDP 洪水、放大洪水以及其他欺骗性数据包洪水。 借助 Azure 的全球网络规模，DDoS 防护通过自动吸收和清理这些潜在的数千兆字节攻击，从而缓解这些攻击。
• 协议攻击：这些攻击通过利用第 3 层和第 4 层协议堆栈中的漏洞，使目标无法访问。 其中包括 SYN 淹没攻击、反射攻击和其他协议攻击。 DDoS 防护通过与客户端交互来区分恶意流量和合法流量并阻止恶意流量，从而缓解这些攻击。
• 资源（应用程序）层攻击：这些攻击以 Web 应用程序数据包为目标来中断主机之间的数据传输。 其中包括 HTTP 协议冲突、SQL 注入、跨站脚本和其他第 7 层攻击。 使用 Azure 应用程序网关 Web 应用程序防火墙等 Web 应用程序防火墙以及 DDoS 防护可提供对这些攻击的防御。 Azure 市场中还提供了第三方 Web 应用程序防火墙产品。

Azure DDoS 防护

Azure DDoS 防护计划可保护虚拟网络中的资源，包括与虚拟机、负载均衡器和应用程序网关相关联的公共 IP 地址。 与应用程序网关 Web 应用程序防火墙或使用公共 IP 在虚拟网络中部署的第三方 Web 应用程序防火墙结合使用时，Azure DDoS 防护可提供第 3 层到第 7 层的完整缓解功能。

后续步骤

• DDoS 响应策略的组件。