Visão Geral
Azure tem um mecanismo de proteção DDOS que limita o tráfego para um IP Público específico (por exemplo, um PoP da Cato). Isso pode impactar o desempenho de um vSocket ou de uma conexão IPSec instalada na Azure Cloud, e também causar uma perda severa de pacotes.
Recentemente, a Cato notou que alguns clientes experimentaram uma Perda de Pacotes significativa devido à Proteção DDOS Padrão da infraestrutura Azure. O problema surge quando o tráfego do túnel DTLS (UDP/443) excede o limite de 200k pacotes por segundo (PPS) por IP de Destino, acionando os mecanismos de Proteção DDOS da Azure. Isso faz com que a Azure limite o tráfego a um máximo de 1k pacotes por segundo. Este limite é aplicado globalmente, o que significa que agrega o Tráfego de todas as Fontes Azure a um único IP de Destino.
Perguntas Frequentes (FAQs)
O que causou o problema de Perda de Pacotes?
A Perda de Pacotes foi causada pelos mecanismos de Proteção DDOS Padrão da Azure, que descartam Pacotes quando o Tráfego excede 200.000 PPS para um único IP de Destino. Isso é para prevenir possíveis ataques de Saída.
Como um Cliente poderia detectar se há um problema com a Azure?
Para os Sites vSocket Azure, se houver uma Perda de Pacotes extremamente alta, isso pode indicar que a Azure ativou a sua Proteção DDOS. Para ver a alta Perda de Pacotes, verifique Rede > Monitoramento do Site > Análise de Rede, e procure a Perda de Pacotes como apresentado abaixo:
Se você observar um aumento na Perda de Pacotes na última milha entre o Site Azure e a Cato Cloud, especialmente na direção Enviada, isso pode indicar que a Proteção DDoS da Azure foi acionada. Abra um ticket de Suporte com a Azure para investigar mais a fundo o problema.
Um incidente de alta Perda de Pacotes na última milha entre o Site Azure e a Cato Cloud, especialmente na direção Enviada, deve ser considerado como um possível resultado da Mitigação de DDoS da Azure e desencadear a abertura de um ticket de Suporte com a Azure para uma Investigação mais aprofundada.
Quais soluções temporárias foram implementadas?
A Azure aumentou temporariamente o limite de PPS para os IPs afetados a 2 milhões de PPS até abril de 2025.
Existe uma solução permanente para este problema?
Atualmente, não há uma solução permanente. No entanto, a Cato está trabalhando em estreita colaboração com a Azure para fornecer tal solução. Recomenda-se que os clientes monitorem seu tráfego e trabalhem com o suporte da Azure para encontrar estratégias de longo prazo para mitigar o impacto.
O que os clientes devem fazer se experimentarem problemas semelhantes?
Os clientes devem relatar imediatamente o problema ao Suporte da Azure e fornecer informações detalhadas sobre seus padrões de tráfego e também compartilhá-las com a Cato. Além disso, por favor, abra um Ticket de Suporte com a Cato também. A Cato trabalhará junto com a Azure para prevenir incidentes futuros.
Configurações Recomendadas de Tráfego
- Os clientes devem considerar implementar estratégias de distribuição de tráfego para evitar exceder o limite de PPS do Azure.
- Para contas que usam a configuração Cato Smart SLA (Rede > SLA de Conexão), isso significa que o vSocket se conectará a um endereço IP diferente após 10 minutos de problemas de qualidade de link.
- Para locais afetados de vSocket do Azure, defina um SLA personalizado com valores de SLA inaceitáveis mais baixos para reduzir o tempo de inatividade dos endereços IP afetados. Para mais informações, veja Configurar as Configurações de SLA de Conexão
0 comentário
Por favor, entre para comentar.