W październiku 2016 r. dostawca DNS Dyn został dotknięty poważnym atakiem typu Distributed Denial of Service (DDoS) przez armię urządzeń IoT, które zostały zhakowane specjalnie w tym celu. Ponad 14,000 100,000 domen korzystających z usług Dyn zostało przeciążonych i niedostępnych, w tym wielkie nazwy, takie jak Amazon, HBO i PayPal. Według badania Cloudflare średni koszt awarii infrastruktury dla firm wynosi 75,000 7 USD (XNUMX XNUMX USD) na godzinę. Jak możesz zapewnić, że Twoja organizacja nie padnie ofiarą tego typu ataku? Z tego przewodnika dowiesz się o wiodących dostawcach infrastruktury, którzy mają moc cyfrową do ochrony przed atakami mającymi na celu zalewanie przepustowości sieci. Dowiesz się również, którzy dostawcy mogą zapewnić ochronę przed bardziej wyrafinowanymi atakami aplikacji (warstwa XNUMX), co można przeprowadzić bez dużej liczby zaatakowanych komputerów (czasami nazywanych botnetem).
![Escudo del proyecto]()
tarcza projektu
1. Tarcza projektu
Potężna ochrona przed atakami DDoS od Google, ale nie wszyscy goście Skorzystaj z infrastruktury Google Bardzo prosta konfiguracja Dostępna tylko dla niektórych witryn Project Shield jest pomysłem firmy Jigsaw, spółki zależnej Alphabet, firmy macierzystej Google. Rozwój rozpoczął się kilka lat temu pod rządami George'a Conarda po atakach na strony internetowe zajmujące się obserwacją wyborów i powiązane strony poświęcone prawom człowieka na Ukrainie. Project Shield jest w stanie filtrować potencjalnie złośliwy ruch, działając jako odwrotne proxy, które ogólnie znajduje się między witryną a Internetem i filtruje żądania połączenia. Jeśli połączenie wydaje się pochodzić od legalnego gościa, Project Shield zezwala na żądanie połączenia. Jeśli żądanie połączenia zostanie uznane za nieudane, na przykład wiele prób połączenia z tego samego adresu IP, zostanie zablokowane. Ten system sprawia, że Project Shield jest niezwykle łatwy do wdrożenia, po prostu zmieniając ustawienia DNS twoich serwerów. Każdy doświadczony użytkownik, który to przeczyta, może się zastanawiać, jak będzie działać filtrowanie ruchu przez serwer proxy z SSL. Na szczęście Jigsaw pomyślał o tym i przygotował obszerny samouczek, aby upewnić się, że bezpieczne połączenia z Twoją witryną działają jak urok. Różne inne samouczki są również dostępne w sekcji pomocy technicznej. Project Shield jest obecnie dostępny tylko dla dedykowanych mediów, monitorujących wybory i stron internetowych poświęconych prawom człowieka. Koncentruje się również na małych i niedofinansowanych witrynach internetowych, których nie stać na drogie rozwiązania hostingowe do ochrony przed atakami DDoS. Jeśli Twoja organizacja nie spełnia tych wymagań, może być konieczne rozważenie alternatywnego rozwiązania, takiego jak Cloudflare.
![Flama de nube]()
płomień chmury
2. Obłoczny płomień
Ciężka ochrona przed atakami DDoS Lider w branży rozwiązań DoS Bezpłatna warstwa obejmuje podstawową ochronę Pakiety komercyjne są stosunkowo drogie Każdy, kto korzystał z Internetu w ciągu ostatnich kilku lat, zna Cloudflare, ponieważ wiele głównych witryn korzysta z jego ochrony. Chociaż Cloudflare ma siedzibę w Stanach Zjednoczonych, obsługuje ponad 180 centrów danych na całym świecie – infrastrukturę, która rywalizuje z Google. Maksymalizuje to szanse, że Twoje witryny pozostaną online. Każdy użytkownik Cloudflare może aktywować tryb „Jestem atakowany”, który może chronić przed najbardziej wyrafinowanymi atakami DoS, przedstawiając wyzwanie JavaScript. Cloudflare zazwyczaj działa również jako odwrotne proxy między odwiedzającymi a hostem Twojej witryny, aby filtrować ruch w taki sam sposób, jak Project Shield firmy Jigsaw. W marcu 2019 roku Cloudflare wypuściło Spectrum dla UDP, które zapewnia ochronę przed atakami DDoS i zaporę ogniową dla niezaufanych protokołów. Odwiedzający, którzy proszą o połączenie, muszą przejść szereg wyrafinowanych filtrów, w tym dotyczących reputacji witryny, jeśli ich adres IP został umieszczony na czarnej liście, a nagłówek HTTP wygląda podejrzanie. Żądania HTTP są opatrzone odciskiem palca w celu ochrony przed znanymi botnetami. Jako gigant branżowy, Cloudflare może z łatwością wykorzystać swoją pozycję, udostępniając informacje w ponad 7 milionach zarządzanych witryn. Cloudflare oferuje bezpłatny plan podstawowy, który obejmuje nieograniczone ograniczanie ataków DDoS. Dla tych, którzy chcą zapłacić za komercyjną subskrypcję Cloudflare (ceny zaczynają się od 200 EUR lub 149 EUR miesięcznie), dostępna jest bardziej zaawansowana ochrona, taka jak pobieranie niestandardowych certyfikatów SSL.
![AWS Shield]()
Tarcza AWS
3. Tarcza AWS
Doskonałe wzorcowe łagodzenie ataków DDoS z większą ilością Standardowa bezpłatna warstwa chroni przed najczęstszymi atakami Łatwa instalacja Warstwa zaawansowana jest bardzo droga. Ochrona AWS Shield jest zapewniana przez odpowiednie osoby w Amazon Web Services. Warstwa „Standardowa” jest dostępna dla wszystkich klientów AWS bez dodatkowych kosztów. Jest to idealne rozwiązanie, ponieważ wiele małych firm decyduje się na hostowanie swoich witryn internetowych za pośrednictwem Amazon. AWS Shield Standard jest dostępny dla wszystkich klientów bez dodatkowych kosztów. Chroni przed bardziej tradycyjnymi atakami sieciowymi (warstwa 3) i transportowymi (warstwa 4), gdy jest używany z usługami Amazon Cloud Front i Route 53. To powinno odstraszyć wszystkich oprócz najbardziej zdeterminowanych hakerów. Jednak Twoja przepustowość, powiedzmy 15 Gbp/s, zawsze będzie ograniczona rozmiarem Twojej instancji Amazon, co pozwoli hakerom na przeprowadzenie ataku DoS, jeśli będą mieli wystarczające zasoby. Co gorsza, nadal ponosisz odpowiedzialność za opłacenie dodatkowego ruchu do Twojej instancji. Aby złagodzić ten problem, Amazon oferuje również AWS Shield Advanced. Subskrypcja obejmuje ochronę przed kosztami ataków DDoS, co może zaoszczędzić znacznego wzrostu miesięcznych rachunków za użytkowanie, jeśli padniesz ofiarą ataku. AWS Shield Advanced może również wdrażać listy ACL (listy kontroli dostępu) na obrzeżach sieci AWS, zapewniając ochronę przed największymi atakami. Zaawansowani subskrybenci korzystają również z całodobowego DRT (zespołu reagowania na ataki DDoS), a także szczegółowych danych dotyczących ataków na ich instancje. Jednak spokój, jaki oferuje AWS Shield Advanced, ma swoją cenę. Powinieneś być przygotowany na subskrypcję na co najmniej jeden rok za cenę 24 € (3,000 €) miesięcznie. Jest to dodatek do kosztów korzystania z transferu danych, które możesz pokryć na zasadzie „pay as you go”.
![Microsoft Azure]()
Azure firmy Microsoft
4.Microsoft Azure
Znakomita podstawowa ochrona w przystępnej cenie premium Standardowa ochrona jest niezwykle łatwa do skonfigurowania Automatyczne łagodzenie zagrożeń Globalna ochrona przed atakami DDoS dla wszystkich zasobów Podobnie jak Amazon, firma Microsoft oferuje opcję wynajmu przestrzeni serwisowej za pośrednictwem usługi Azure. Wszyscy członkowie mają podstawową ochronę przed atakami DDoS. Funkcje obejmują całodobowe monitorowanie ruchu i łagodzenie ataków sieciowych w czasie rzeczywistym (warstwa 3) dla wszystkich używanych publicznych adresów IP. Jest to ten sam typ ochrony, jaki oferują własne usługi online firmy Microsoft, a wszystkie zasoby w sieci Azure mogą zostać wykorzystane do absorpcji ataków DDoS. W przypadku organizacji, które potrzebują bardziej zaawansowanej ochrony, platforma Azure oferuje również warstwę „Standardowa”. Zostało to powszechnie docenione za to, że jest bardzo łatwe do aktywacji, wymagające tylko kilku kliknięć myszką. Należy pamiętać, że platforma Azure nie wymaga wprowadzania żadnych zmian w aplikacjach, chociaż warstwa standardowa zapewnia ochronę przed atakami DDoS aplikacji (warstwa 7) za pośrednictwem zapory aplikacji sieci Web Application Gateway. Azure Monitor może wyświetlać metryki w czasie rzeczywistym, jeśli wystąpi atak. Są one przechowywane przez 30 dni i mogą być wyeksportowane do dalszych badań, jeśli chcesz. Platforma Azure stale sprawdza ruch sieciowy do Twoich zasobów. Jeśli przekroczą one wstępnie zdefiniowany próg, automatycznie rozpocznie się łagodzenie ataków DDoS. Obejmuje to sprawdzanie pakietów, aby upewnić się, że nie są zniekształcone lub sfałszowane, a także stosowanie ograniczania szybkości. Standardowa ochrona wynosi obecnie 2,944 EUR (2,204 EUR) miesięcznie plus opłaty za transmisję danych dla maksymalnie 100 zasobów. Ochrona dotyczy również wszystkich zasobów. Innymi słowy, nie można dostosować łagodzenia DDoS do poszczególnych środków.
![Protección DDoS de Verisign]()
Ochrona przed atakami DDoS firmy Verisign
5. Ochrona Verisign / Neustar DDoS
Najlepsza ochrona przed atakami DDoS przed weteranami bezpieczeństwa Łatwa konfiguracja przez DNS Dedykowane centra czyszczenia w celu ochrony przed atakami Wdrożenie na miejscu Interfejs wymaga czasu, aby się nauczyć Aktualizacja: usługi bezpieczeństwa Verisign przenoszą się do Neustar, ale funkcje i funkcje wymienione w recenzji pozostały stosunkowo To samo. Verisign jest prawie tak stary jak sam Internet. Od 1995 roku rozwinęła się z prostego urzędu certyfikacji do głównego gracza w branży usług sieciowych. Ochrona DDoS firmy Verisign działa w chmurze. Użytkownicy mogą przekierować próby połączenia za pomocą prostej zmiany ustawień serwera nazw domen (DNS). Ruch jest wysyłany do Verisign w celu weryfikacji, aby zapobiec atakom sieciowym. Verisign dokładnie analizuje cały ruch przed przekierowaniem. Ponieważ Verisign obsługuje dwa z trzynastu serwerów nazw tras na świecie, nie jest zaskakujące, że organizacja ta obsługuje również kilka dedykowanych „centrów czyszczenia” DDoS. Analizują one ruch i filtrują złe żądania połączeń. Połączona infrastruktura działa z prędkością prawie 2 TB/s i może blokować nawet najbardziej niszczycielskie ataki DDoS. Jest to w dużej mierze realizowane za pośrednictwem Athena, platformy łagodzenia zagrożeń firmy Verisign. Atena jest zasadniczo podzielona na trzy elementy. „Tarcza” filtruje ataki sieciowe (warstwa 3) i transportowe (warstwa 4) poprzez DPI (Deep Packet Inspection), czarną i białą listę oraz zarządzanie reputacją witryny. „Proxy” Atheny sprawdza nagłówki HTTP pod kątem złego ruchu podczas początkowych prób połączenia. Zarówno „proxy”, jak i „tarcza” obsługują „system równoważenia obciążenia” Atheny, który pomaga zapobiegać atakom aplikacji (warstwa 7). Portal Klienta wyświetla szczegółowe raporty o ruchu i umożliwia skonfigurowanie zarządzania zagrożeniami, na przykład poprzez tworzenie czarnych list połączeń. Dla użytkowników, którzy niechętnie wdrażają wszystko w chmurze, Verisign oferuje również OpenHybrid, który można zainstalować lokalnie. Źródło zdjęcia: Wikimedia Commons (Antoine Lamielle) Podsumowanie najlepszych ofert dnia