Visión general
Azure tiene un mecanismo de protección DDOS que limita el tráfico a una IP pública específica (por ejemplo, un PoP de Cato). Esto podría impactar el rendimiento de un vSocket o una conexión IPSec instalada en Azure Cloud, y también causar una pérdida de paquetes severa.
Recientemente, Cato notó que algunos clientes han experimentado una pérdida significativa de paquetes debido a la protección DDoS de infraestructura predeterminada de Azure. El problema surge cuando el tráfico del túnel DTLS (UDP/443) excede el umbral de 200k paquetes por segundo (PPS) por dirección IP de destino, activando los mecanismos de protección DDoS de Azure. Esto provoca que Azure reduzca el tráfico a un límite de 1k paquetes por segundo. Este límite se aplica globalmente, lo que significa que agrega el tráfico de todas las fuentes de Azure a una sola IP de destino.
Preguntas Frecuentes (FAQs)
¿Qué causó el problema de pérdida de paquetes?
La pérdida de paquetes fue causada por los mecanismos de protección DDoS predeterminados de Azure, que descartan paquetes cuando el tráfico excede los 200.000 PPS a una sola IP de destino. Esto es para prevenir posibles ataques salientes.
¿Cómo podría un cliente detectar si hay un problema con Azure?
Para sitios de vSocket de Azure, si hay una pérdida de paquetes extremadamente alta, podría indicar que Azure activó su protección DDOS. Para ver la pérdida alta de paquetes, por favor revise Network > Site Monitoring > Network Analytics, y busque la pérdida de paquetes como se presenta a continuación:
Si observa un aumento en la pérdida de paquetes en el último tramo entre el sitio de Azure y Cato Cloud, especialmente en sentido ascendente, esto podría indicar que se activó la protección DDoS de Azure. Abra un ticket de soporte con Azure para investigar más a fondo el problema.
Un incidente de alta pérdida de paquetes en el último tramo entre el sitio de Azure y Cato Cloud, especialmente en la dirección ascendente, debe considerarse como un posible resultado de la mitigación de DDoS de Azure y desencadenar la apertura de un ticket de soporte con Azure para una mayor investigación.
¿Qué soluciones temporales se han implementado?
Azure ha aumentado temporalmente el umbral de PPS para las IPs afectadas a 2 millones de PPS hasta abril de 2025.
¿Existe una solución permanente para este problema?
Actualmente, no hay una solución permanente. Sin embargo, Cato está trabajando estrechamente con Azure para proporcionar tal solución. Se alienta a los clientes a monitorear su tráfico y trabajar con el soporte de Azure para encontrar estrategias a largo plazo para mitigar el impacto.
¿Qué deben hacer los clientes si experimentan problemas similares?
Los clientes deben informar inmediatamente el problema al soporte de Azure y proporcionar información detallada sobre sus patrones de tráfico y también compartirlo con Cato. Además, por favor abra un ticket de soporte con Cato también. Cato trabajará junto con Azure para prevenir incidentes futuros.
Configuración de Tráfico Recomendado
- Los clientes deberían considerar implementar estrategias de distribución de tráfico para evitar exceder el umbral PPS de Azure.
- Para las cuentas que usan la configuración SLA de Cato Smart (Red > SLA de Conexión), esto significa que el vSocket se conectará a una dirección IP diferente después de 10 minutos de problemas de calidad de enlace.
- Para los sitios de vSocket Azure afectados, establezca un SLA personalizado con valores de SLA inaceptables más bajos para reducir el tiempo de inactividad de las direcciones IP afectadas. Para más información, vea Configurar la Configuración del SLA de Conexión
0 comentarios
Inicie sesión para dejar un comentario.