Azure Ubuntu VM:对于基本的DDOS保护，是否必须连接到168.63.129.16:80？

Question

昨天，当我在Azure上运行netstat | grep http时，我注意到了一些悬而未决的活动：

有60多条这样的线条：

tcp        0      0 ser:http               hosted-by.blazing:29248 SYN_RECV   
tcp        0      0 ser:http               hosted-by.blazingf:59438 SYN_RECV   
tcp        0      0 ser:http               8.8.8.8:7057 SYN_RECV   
# [SNIP]

我猜这是一个SYN洪水攻击，并且考虑到8.8.8.8的存在，可能是一些IP欺骗吗？我没有任何来自Azure的DDOS保护，只是一个标准的Ubuntu。我试了几件事：

取消net.ipv4.tcp_syncookies=1行在/etc/sysctl.conf中的注释，并运行sysctl -p，但是上面的数据包继续。

我已经有了自己的iptables脚本，可以将服务器锁定一点。在检查此脚本时，我在/var/log/syslog中注意到了一些不相关的行：

INFO Exception processing GoalState-related files: [ProtocolError] 
[Wireserver Exception] [HttpError] [HTTP Failed]
GET http://168.63.129.16/machine/?comp=goalstate -- IOError
timed out -- 6 attempts made

对这个IP的一些研究表明它是Azure的部分结构，所以我继续将它添加到我的防火墙脚本中，以便允许端口80上这个IP的传出流量。

突然，早些时候的SYN交通停止了。

更新

好的，一些进一步调查显示Azure提供了一个基本级别的DDOS保护：

Basic:自动启用，作为Azure平台的一部分。对流量的监控，以及对常见网络级攻击的实时缓解，提供了与微软在线服务相同的防御能力。Azure全球网络的整个规模可用于分布和减轻跨区域的攻击流量。为IPv4和IPv6 Azure公共IP地址提供保护。

--我想我现在的问题是，对于一个熟悉的人来说:允许向168.63.129.16发送HTTP流量是否是这种保护的关键部分，并解释我所看到的行为？

Answer 1

168.63.129.16用于VM与内部Azure资源的通信，如监视、来宾代理心跳、负载平衡器探测，并向平台发送VM就绪状态信号。我还没有找到所有使用IP进行通信的确切列表，但是如果不允许访问，您在Azure中的体验将会减少，所以我建议您这样做。

无论是否需要DDOS保护，我怀疑可能不是，因为大多数DDOS保护将在到达VM之前在网络级别进行，但是，可能会使用通过该路由发送的一些监视数据。