Azure Ubuntu VM: является ли подключение к 168.63.129.16:80 обязательным для базовой защиты DDOS?

Question

Azure Ubuntu VM: является ли подключение к 168.63.129.16:80 обязательным для базовой защиты DDOS?

Вчера я заметил некоторую подозрительную активность при запуске netstat | grep http на моей виртуальной машине Azure Ubuntu:

Таких строк было более 60:

tcp        0      0 ser:http               hosted-by.blazing:29248 SYN_RECV   
tcp        0      0 ser:http               hosted-by.blazingf:59438 SYN_RECV   
tcp        0      0 ser:http               8.8.8.8:7057 SYN_RECV   
# [SNIP]

Я предполагаю, что это SYN-атака, и учитывая наличие 8.8.8.8 возможно какой-то IP Spoofing? У меня нет защиты от DDOS от Azure, только стандартная Ubuntu VM. Я попробовал несколько вещей:

Раскомментировал строку net.ipv4.tcp_syncookies=1 в /etc/sysctl.conf и побежал sysctl -p но вышеупомянутые пакеты продолжались.

У меня уже есть свой собственный скрипт iptables, чтобы немного заблокировать сервер. Проверяя этот сценарий, я заметил несколько не связанных строк /var/log/syslog:

INFO Exception processing GoalState-related files: [ProtocolError] 
[Wireserver Exception] [HttpError] [HTTP Failed]
GET http://168.63.129.16/machine/?comp=goalstate -- IOError
timed out -- 6 attempts made

Некоторые исследования этого IP- адреса показывают, что он является частью структуры Azure, поэтому я добавил его в свой сценарий брандмауэра, чтобы разрешить исходящий трафик на этот IP-порт через порт 80.

Внезапно прежний трафик SYN остановился.

ОБНОВИТЬ

Итак, дальнейшие исследования показывают, что Azure обеспечивает базовый уровень защиты DDOS:

Базовый: автоматически включается как часть платформы Azure. Постоянный мониторинг трафика и минимизация атак на уровне сети в режиме реального времени обеспечивают те же средства защиты, что и онлайн-сервисы Microsoft. Весь масштаб глобальной сети Azure можно использовать для распределения и снижения трафика атак по регионам. Защита предоставляется для общедоступных IP-адресов IPv4 и IPv6 Azure.

Я думаю, мой вопрос сейчас, для кого-то в курсе: будет ли разрешать исходящий HTTP-трафик 168.63.129.16 быть важной частью этой защиты и объяснить поведение, которое я видел?

1

ubuntu azure ddos syn

Источник

v25 12 ноя '18 в 14:15

1 ответ

Другие вопросы по тегам ubuntu azure ddos syn

Sam Cogan 13 ноя '18 в 17:45 2018-11-13 17:45 · Answer 1 · 2018-11-13 17:45

168.63.129.16 используется для вашей виртуальной машины для взаимодействия с внутренними ресурсами Azure, такими как мониторинг, пульс гостевого агента, зонды балансировки нагрузки и для передачи платформе состояния готовности виртуальной машины. Я не смог найти точный список всего, что использует этот IP для связи, но ваш опыт работы в Azure будет сокращен, если вы не разрешите доступ, поэтому я бы порекомендовал вам это сделать.

Требуется ли это для защиты DDOS, я подозреваю, что это, вероятно, не так, поскольку большая часть защиты DDOS будет выполнена на уровне сети, прежде чем она достигнет вашей виртуальной машины, однако, возможно, что некоторые данные мониторинга, отправленные по этому маршруту, могут быть используемый.