W październiku 2016 r. dostawca usług DNS Dyn został dotknięty atakiem typu Distributed Denial of Service (DDoS) przeprowadzanym przez armię specjalnie zhakowanych urządzeń IoT. Ponad 14,000 XNUMX domen korzystających z usług Dyn zostało przeciążonych i niedostępnych, w tym wielkie nazwy, takie jak Amazon, HBO i PayPal.
Według badania przeprowadzonego przez Cloudflare średni koszt awarii infrastruktury dla firm wynosił wówczas 100,000 75,000 USD (XNUMX XNUMX GBP). Jak więc zapewnić, że Twoja organizacja nie padnie ofiarą tego typu ataku? Z tego przewodnika dowiesz się o wiodących dostawcach infrastruktury dysponujących mocą cyfrową do ochrony przed atakami mającymi na celu przeciążenie przepustowości Twojej sieci.
Dowiesz się również, którzy dostawcy mogą zapewnić ochronę przed atakami ze strony bardziej wyrafinowanych aplikacji (warstwa 7), co można zrobić bez dużej liczby zhakowanych komputerów (czasami nazywanych botnetem).
1. Tarcza projektu
Potężna ochrona przed atakami Google DDoS, ale nie wszyscy są zaproszeni
Skorzystaj z infrastruktury Google.
Bardzo łatwa konfiguracja
Dostępne tylko dla niektórych witryn
Project Shield jest pomysłem Jigsaw, spółki zależnej Google, Alphabet. Rozwój rozpoczął się kilka lat temu pod rządami George'a Conarda, w wyniku ataków na ukraińskie serwisy monitorujące prawa człowieka i wybory.
Project Shield może filtrować potencjalnie złośliwy ruch, działając jako odwrotne proxy między witryną internetową a szerszym Internetem, filtrując żądania połączenia. Jeśli połączenie wydaje się pochodzić od legalnego gościa, Project Shield autoryzuje żądanie połączenia. Jeśli żądanie połączenia zostanie uznane za nieprawidłowe, na przykład wiele prób połączenia z tego samego adresu IP, zostanie zablokowane. Ten system sprawia, że Project Shield jest niezwykle łatwy do wdrożenia, po prostu modyfikując ustawienia DNS twoich serwerów.
Każdy, kto umie czytać, może się zastanawiać, jak będzie działać filtrowanie ruchu przez serwer proxy z SSL. Na szczęście Jigsaw pomyślał o tym i przygotował obszerny samouczek, aby upewnić się, że bezpieczne połączenia z Twoją witryną działają bez żadnych problemów. Różne inne samouczki są również dostępne w sekcji pomocy technicznej.
Obecnie Project Shield jest dostępny tylko dla mediów, monitoringu wyborów i stron internetowych poświęconych prawom człowieka. Nacisk kładziony jest również na małe i niedofinansowane strony internetowe, których nie stać na drogie rozwiązania hostingowe chroniące przed atakami DDoS. Jeśli Twoja organizacja nie spełnia tych wymagań, może być konieczne rozważenie innego rozwiązania, takiego jak Cloudflare.
2. Cloudflare
Gigant ochrony przed atakami DDoS.
Lider w branży rozwiązań DoS.
Bezpłatna warstwa obejmuje podstawową ochronę.
Pakiety biznesowe są stosunkowo drogie
Każdy, kto korzystał z Internetu w ciągu ostatnich kilku lat, zna Cloudflare, ponieważ wiele największych stron internetowych korzysta z jego ochrony. Chociaż Cloudflare ma siedzibę w Stanach Zjednoczonych, zarządza 165 centrami danych na całym świecie – infrastrukturą porównywalną z Google. Maksymalizuje to szanse, że Twoje witryny pozostaną online.
Każdy użytkownik Cloudflare może włączyć tryb „Jestem pod atakiem”, który może chronić przed najbardziej wyrafinowanymi atakami typu „odmowa usługi”, przedstawiając wyzwanie JavaScript. Cloudflare często działa również jako odwrotne proxy między odwiedzającymi a hostem Twojej witryny, aby filtrować ruch w taki sam sposób, jak Jigsaw Project Shield. W marcu 2019 roku wprowadzono Spectrum dla UDP, zapewniające ochronę przed atakami DDoS oraz firewall dla zawodnych protokołów.
Odwiedzający żądający połączenia muszą przejść przez wyrafinowane filtry, w tym reputację witryny, czy ich adres IP znajduje się na czarnej liście i czy nagłówek HTTP wygląda podejrzanie. Żądania HTTP są opatrzone odciskiem palca w celu ochrony przed znanymi sieciami zombie. Jako gigant branżowy, Cloudflare może z łatwością wykorzystać swoją pozycję, udostępniając informacje na ponad 7 milionach stron internetowych.
Cloudflare oferuje bezpłatny pakiet podstawowy, który obejmuje nieograniczone ograniczenie ataków DDoS. Dla tych, którzy chcą zapłacić za komercyjne członkostwo Cloudflare (ceny zaczynają się od 200 USD lub 149 GBP miesięcznie), dostępna jest bardziej zaawansowana ochrona, taka jak pobieranie niestandardowych certyfikatów SSL.
3. Tarcza AWS
Doskonałe podstawowe łagodzenie ataków DDoS i więcej
Bezpłatna warstwa standardowa chroni przed najczęstszymi atakami.
Łatwa instalacja
Poziom zaawansowany jest bardzo drogi
Ochrona AWS Shield jest zapewniana przez Kompetentne Osoby w Amazon Web Services. Warstwa „Standardowa” jest dostępna bez dodatkowych kosztów dla wszystkich klientów AWS. Jest to idealne rozwiązanie, ponieważ wiele małych firm decyduje się na hostowanie swoich witryn internetowych za pośrednictwem Amazon. AWS Shield Standard jest dostępny dla wszystkich klientów bez dodatkowych kosztów. Chroni przed bardziej typowymi atakami sieciowymi (warstwa 3) i transportowymi (warstwa 4) podczas korzystania z usług Amazon Cloud Front i Route 53.
To powinno odstraszyć wszystkich oprócz najbardziej zdeterminowanych piratów. Jednak Twoja przepustowość, powiedzmy 15 Gb/s, nadal będzie ograniczona rozmiarem Twojej instancji Amazon, umożliwiając hakerom przeprowadzenie ataku DoS, jeśli mają wystarczające zasoby. Co gorsza, nadal ponosisz odpowiedzialność za opłacenie dodatkowego ruchu do swojej instancji.
Aby temu zaradzić, Amazon oferuje również AWS Shield Advanced. Subskrypcja obejmuje ochronę kosztów przed atakami DDoS, co może uchronić Cię przed gwałtownym wzrostem miesięcznych rachunków, jeśli padniesz ofiarą ataku. AWS Shield Advanced może również zaimplementować listy kontroli dostępu (ACL) na obrzeżach sieci AWS, chroniąc Cię przed najbardziej znaczącymi atakami.
Zaawansowani subskrybenci korzystają również z całodobowego DRT (zespołu reagowania na ataki DDoS), a także szczegółowych wskaźników wszystkich ataków na ich instancje. Duch oferowany przez AWS Shield Advanced jest jednak drogi. Powinieneś być gotowy do subskrypcji na co najmniej jeden rok w cenie 24 USD (3,000 GBP) miesięcznie. Jest to dodatek do kosztów korzystania z transferu danych, które możesz pokryć na zasadzie „pay as you go”.
4.Microsoft Azure
Doskonała podstawowa ochrona z przystępnym cenowo i płatnym poziomem.
Standardowa ochrona jest niezwykle łatwa do skonfigurowania
Automatyczne ograniczanie zagrożeń
Ochrona przed atakami DDoS dla wszystkich zasobów.
Podobnie jak Amazon, Microsoft oferuje możliwość wynajmu powierzchni usługowych za pośrednictwem usługi Azure. Wszyscy członkowie korzystają z podstawowej ochrony przed atakami DDoS. Funkcje zawsze obejmują monitorowanie ruchu i łagodzenie ataków sieciowych w czasie rzeczywistym (warstwa 3) dla wszystkich używanych publicznych adresów IP. Jest to ten sam typ ochrony, którego usługi online firmy Microsoft i wszystkie zasoby sieciowe platformy Azure mogą służyć do pochłaniania ataków DDoS.
Dla firm, które potrzebują bardziej zaawansowanej ochrony, platforma Azure oferuje również warstwę „Standardowa”. Zostało to powszechnie docenione za bardzo łatwą aktywację, wymagającą zaledwie kilku kliknięć myszką. Co najważniejsze, platforma Azure nie wymaga modyfikowania aplikacji, chociaż warstwa standardowa zapewnia ochronę przed atakami DDoS przez aplikacje (warstwa 7) za pośrednictwem zapory aplikacji sieci Web Application Gateway. Azure Monitor może wyświetlać statystyki w czasie rzeczywistym, jeśli wystąpi atak. Są one przechowywane przez 30 dni iw razie potrzeby można je wyeksportować do dalszych badań.
Platforma Azure stale sprawdza ruch sieciowy w Twoich zasobach. Jeśli przekroczą one wstępnie zdefiniowany próg, automatycznie rozpocznie się łagodzenie ataków DDoS. Obejmuje to sprawdzanie pakietów w celu upewnienia się, że nie są źle poprowadzone lub sfałszowane, a także stosowanie ograniczania przepływu.
Standardowa ochrona wynosi obecnie 2,944 USD (2,204 GBP) miesięcznie, plus opłaty za transmisję danych dla maksymalnie 100 zasobów. Ochrona dotyczy również wszystkich zasobów. Innymi słowy, nie można dostosować środków zaradczych dla ataków DDoS.
5. Ochrona Verisign DDoS
Najlepsza ochrona przed atakami DDoS od weteranów bezpieczeństwa.
Łatwa instalacja przez DNS
Centra prania przeznaczone do ochrony przed atakami.
Można rozłożyć na miejscu
Interfejs wymaga czasu na opanowanie
Aktualizacja: usługi bezpieczeństwa Verisign są przenoszone do Neustarale funkcje i funkcje wymienione w tej recenzji pozostały względnie takie same.
Verisign jest prawie tak stary jak sam Internet. Od 1995 roku rozwinęła się z pojedynczego urzędu certyfikacji do głównego gracza w branży usług sieciowych.
Ochrona DDoS firmy Verisign działa w chmurze. Użytkownicy mogą przekierować próby logowania, po prostu zmieniając ustawienia serwera nazw domen (DNS). Ruch jest wysyłany do Verisign w celu weryfikacji, aby zapobiec atakom sieciowym. Verisign dokładnie analizuje cały ruch przed jego przekierowaniem.
Ponieważ Verisign obsługuje dwa z 13 globalnych serwerów nazw tras, nie jest zaskakujące, że organizacja prowadzi również kilka dedykowanych „centrów czyszczenia” DDoS. Analizują one ruch i odfiltrowują złe żądania połączeń. Połączona infrastruktura osiąga prawie 2 TB/s i może blokować najbardziej szkodliwe ataki DDoS.
Jest to w dużej mierze realizowane za pośrednictwem Athena, platformy łagodzenia zagrożeń firmy Verisign. Atena jest w dużej mierze podzielona na trzy elementy. „Tarcza” filtruje ataki sieciowe (warstwa 3) i transportowe (warstwa 4) poprzez DPI (głęboka kontrola pakietów), czarne i białe listy oraz zarządzanie reputacją witryn. „Proxy” Atheny sprawdza nagłówki HTTP pod kątem złego ruchu podczas początkowych prób logowania. „Proxy” i „tarcza” są obsługiwane przez „system równoważenia obciążenia” Atheny, który pomaga zapobiegać atakom aplikacji (warstwa 7).
Portal Klienta wyświetla szczegółowe raporty o ruchu i umożliwia skonfigurowanie zarządzania zagrożeniami, na przykład poprzez tworzenie czarnych list połączeń. Verisign oferuje również OpenHybrid dla użytkowników, którzy niechętnie wdrażają wszystko w chmurze i mogą być instalowani lokalnie.
Źródło obrazu: Wikimedia Commons (Antoine Lamielle)