根据我的测试,Azure网络安全组(NSG(有状态防火墙阻止所有(UDP和TCP(反射DDoS攻击?我只是通过编程创建了一个NSG传入tcp端口80443允许规则来完成测试。这就是我所需要做的吗?(我认为答案是肯定的(。
顺便说一句,这里是一个反射DDoS攻击的例子。客户端1是僵尸网络的一部分,它将其源IP地址伪装成受害者的IP地址。然后,客户端1向运行UDP端口53 DNS服务器的无辜第三方发送此特制的恶意数据包。第三方服务器会回复,但回复会转到受害者服务器(因为源IP地址被欺骗(。
您甚至不需要Azure防火墙来阻止反射攻击,前提是您在资源连接的VNet(在您的示例中为DNS服务器(上启用了标准级别的DDoS保护。
https://learn.microsoft.com/en-us/azure/virtual-network/ddos-protection-overview