فهم آلية حماية Azure المتعلقة بمواقع Azure

نظرة عامة

يمتلك Azure آلية حماية DDOS تحد من الحركة إلى عنوان IP عام محدد (على سبيل المثال، PoP من كاتو). قد يؤثر ذلك على أداء vSocket أو اتصال IPSec المثبت في سحابة Azure، ويتسبب أيضاً في فقدان حزم حاد.

مؤخراً، لاحظت كاتو أن بعض العملاء قد عانوا من فقدان ملحوظ في الحزم بسبب حماية البنية التحتية الافتراضية لـ Azure عند التعرض لهجمات DDoS. تنشأ المشكلة عندما يتجاوز مرور نفق DTLS (UDP/443) العتبة البالغة 200 ألف حزمة في الثانية (PPS) لكل IP وجهة، مما يؤدي إلى تشغيل آليات حماية DDoS في Azure. يتسبب هذا في قيام Azure بخنق الحركة إلى حد 1k حزمة في الثانية. يتم تطبيق هذا الحد بشكل عالمي، مما يعني أنه يجمع الحركة من جميع مصادر Azure إلى عنوان IP وجهة واحد.

الأسئلة الشائعة (FAQs)

ما سبب مشكلة فقدان الحزم؟

سبب فقدان الحزم هو آليات حماية DDoS الافتراضية في Azure التي تسقط الحزم عندما يتجاوز المرور 200,000 PPS إلى عنوان IP وجهة واحد. هذا لمنع الهجمات الصادرة المحتملة.

كيف يمكن للعميل اكتشاف مشكلة في Azure؟

بالنسبة لمواقع Azure vSocket، إذا كان هناك فقدان حزم مرتفع للغاية، فقد يشير إلى أن Azure قد فعلت حماية DDoS لديها. لرؤية فقدان الحزم العالي، يرجى فحص Network > Site Monitoring > Network Analytics، والنظر إلى فقدان الحزم كما هو موضح أدناه:


إذا شاهدت زيادة في فقدان الحزم في الميل الأخير بين موقع Azure وسحابة كاتو، خاصة في الاتجاه العلوي، فقد يشير ذلك إلى أن حماية DDoS في Azure قد تم تفعيلها. افتح تذكرة دعم مع Azure للتحقيق في المشكلة بشكل أعمق.

ينبغي اعتبار حادثة فقدان الحزم المرتفع في الميل الأخير بين موقع Azure وسحابة كاتو، خاصة في الاتجاه العلوي، نتيجة محتملة لتخفيف azure لحماية DDOS ويجب فتح تذكرة دعم مع azure لإجراء مزيد من التحقيقات.

ما هي الحلول المؤقتة التي تم تنفيذها؟

قامت Azure بزيادة مؤقتة لعتبة PPS للعناوين IP المتضررة إلى 2 مليون PPS حتى أبريل 2025.

هل هناك حل دائم لهذه المشكلة؟

حالياً، لا يوجد حل دائم. ومع ذلك، تعمل Cato عن كثب مع Azure لتقديم مثل هذا الحل. ينصح العملاء بمراقبة حركة المرور والعمل مع دعم Azure لإيجاد استراتيجيات طويلة الأمد لتخفيف التأثير.

ماذا يجب أن يفعل العملاء إذا واجهوا مشكلات مماثلة؟

يجب على العملاء الإبلاغ فوراً عن المشكلة إلى دعم Azure وتقديم معلومات مفصلة عن أنماط حركة المرور الخاصة بهم، ومشاركتها مع كاتو أيضاً. بالإضافة إلى ذلك، يرجى فتح تذكرة دعم مع كاتو أيضاً. ستعمل Cato بالتعاون مع Azure لمنع الحوادث المستقبلية.

إعدادات حركة المرور الموصى بها

  • ينبغي على العملاء النظر في تطبيق استراتيجيات توزيع الحركة لتجنب تجاوز عتبة PPS الخاصة بـ Azure.
  • بالنسبة للحسابات التي تستخدم إعداد Cato Smart SLA (Network > Connection SLA)، هذا يعني أن vSocket سيتصل بعنوان IP مختلف بعد 10 دقائق من مشاكل جودة الرابط. 
    • بالنسبة لمواقع Azure vSocket المتأثرة، قم بتعيين SLA مخصص بقيم SLA غير مقبولة أقل لتقليل وقت التعطل لعناوين IP المتأثرة. للمزيد من المعلومات، انظر إعدادات تكوين اتصال SLA

 

هل كان هذا المقال مفيداً؟

1 من 1 وجدوا هذا مفيداً

لا توجد تعليقات