Bedste DDoS-beskyttelse i 2021

Project Shield er skabt af Jigsaw, en udløber af Googles moderselskab Alphabet. Udviklingen begyndte for flere år siden under George Conard i kølvandet på angreb på valgovervågnings- og menneskerettighedsrelaterede websteder i Ukraine.

Project Shield er i stand til at filtrere potentiel skadelig trafik ved at fungere som en reverse proxy, der placerer sig mellem et websted og internettet som helhed og filtrerer forbindelsesanmodninger. Hvis en forbindelse ser ud til at være fra en legitim besøgende, tillader Project Shield forbindelsesanmodningen. Hvis en forbindelsesanmodning anses for at være dårlig, f.eks. ved flere forbindelsesforsøg fra den samme IP-adresse, blokeres den. Dette system gør Project Shield ekstremt let at implementere ved blot at ændre serverens DNS-indstillinger.

Alle power users, der læser med, undrer sig måske over, hvordan filtrering af trafik via en proxy vil fungere med SSL. Heldigvis har Jigsaw tænkt på dette og har sammensat en omfattende vejledning for at sikre, at sikre forbindelser til dit websted fungerer gnidningsløst. Flere andre vejledninger er også tilgængelige i supportsektionen.

Foreløbig er Project Shield kun tilgængelig for medier, valgovervågning og menneskerettighedsrelaterede websteder. Det primære fokus er også på små websteder med for få ressourcer, som ikke har råd til dyre hostingløsninger til at beskytte sig mod DDoS. Hvis din organisation ikke opfylder disse krav, skal du muligvis overveje en alternativ løsning såsom Cloudflare.

• Du kan tilmelde dig Project Shield her

Alle, der har brugt internettet i de sidste par år, vil være bekendt med Cloudflare, da mange store websteder gør brug af deres beskyttelse. Selv om Cloudflare er baseret i USA, har det over 180 datacentre rundt om i verden: en infrastruktur, der kan konkurrere med Googles. Dette maksimerer dit websteds chancer for at forblive online.

Alle Cloudflare-brugere kan vælge at aktivere “Jeg er under angreb”-tilstanden, som kan beskytte mod selv de mest sofistikerede DoS-angreb ved at præsentere en Javascript-udfordring. Cloudflare fungerer også rutinemæssigt som en reverse proxy, der sidder mellem besøgende og din webstedsvært for at filtrere trafikken på samme måde som Jigsaws Project Shield. I marts 2019 introducerede Cloudflare Spectrum for UDP, som giver DDoS-beskyttelse og firewalling for upålidelige protokoller.

Besøgende, der foretager forbindelsesanmodninger, skal gennemgå en gauntlet af sofistikerede filtre, herunder webstedets omdømme, om deres IP er blevet sortlistet, og om HTTP-headeren virker mistænkelig. HTTP-forespørgsler fingeraftrykkes for at beskytte mod kendte botnets. Som branchegigant kan Cloudflare nemt udnytte sin position ved at dele oplysninger på tværs af de over 7 millioner websteder, som Cloudflare administrerer.

Cloudflare tilbyder en gratis basispakke, som omfatter umetered DDoS-afdæmpning. For dem, der er villige til at betale for et Cloudflare-abonnement for virksomheder (priserne starter ved 200 dollars eller 149 pund om måneden), er der mere avanceret beskyttelse tilgængelig, f.eks. brugerdefinerede SSL-certifikater, der kan uploades.

• Du kan tilmelde dig Cloudflare her

AWS Shield-beskyttelse leveres af de gode folk fra Amazon web services. Niveauet “Standard” er tilgængeligt for alle AWS-kunder uden ekstra omkostninger. Dette er ideelt, da mange små virksomheder vælger at hoste deres websteder hos Amazon. AWS Shield Standard er tilgængelig for alle kunder uden ekstra omkostninger. Den beskytter mod mere typiske netværks- (lag 3) og transportangreb (lag 4), når Amazons Cloud Front- og Route 53-tjenester anvendes.

Det burde afskrække alle undtagen de mest beslutsomme hackere. Din båndbredde, f.eks. 15 Gbp/s, vil dog stadig være begrænset af størrelsen af din Amazon-instans, hvilket gør det muligt for hackere at udføre et DoS-angreb, hvis de har tilstrækkelige ressourcer. Endnu værre er det, at du fortsat er ansvarlig for at betale for den ekstra trafik til din instans.

For at afhjælpe dette tilbyder Amazon også AWS Shield Advanced. Et abonnement omfatter beskyttelse mod DDoS-omkostninger, som kan spare dig for en stor stigning i din månedlige forbrugsregning, hvis du bliver offer for et angreb. AWS Shield Advanced kan også implementere dine ACL’er (Access Control Lists) til grænsen af selve AWS-netværket, hvilket giver dig beskyttelse mod selv de største angreb.

Advanced-abonnenter nyder også godt af et DRT-team (DDoS-responsteam) døgnet rundt samt detaljerede metrikker om eventuelle angreb på dine instanser. Den tryghed, som AWS Shield Advanced giver dig, er dog dyr. Du skal være villig til at abonnere i mindst et år til en pris på 3.000 dollars (2.200 pund) om måneden. Dette er ud over omkostningerne til dataoverførselsforbrug, som du kan dække på et “pay as you go”-grundlag.

• Du kan tilmelde dig AWS Shield her

Lignende Amazon, Microsoft tilbyder muligheden for at leje serviceplads via deres tjeneste Azure. Alle medlemmer har fordel af grundlæggende DDoS-beskyttelse. Funktionerne omfatter konstant trafikovervågning og afbødning i realtid af netværksangreb (lag 3) for alle offentlige IP-adresser, du bruger. Dette er den samme type beskyttelse som Microsofts egne onlinetjenester, og alle ressourcerne i Azures netværk kan bruges til at absorbere DDoS-angreb.

For organisationer, der har brug for en mere sofistikeret beskyttelse, tilbyder Azure også et “Standard”-niveau. Denne er blevet meget rost for at være meget nem at aktivere og kræver kun et par klik med musen. Det er afgørende, at Azure ikke kræver, at du foretager nogen ændringer i dine apps, selv om standardniveauet tilbyder beskyttelse mod DDoS-angreb på applikationer (lag 7) via app gateway web app firewall. Azure Monitor kan vise dig realtidsmålinger, hvis et angreb finder sted. Disse data opbevares i 30 dage og kan eksporteres med henblik på yderligere undersøgelse, hvis du ønsker det.

Azure kontrollerer konstant webtrafikken til dine ressourcer. Hvis disse overstiger en foruddefineret tærskel, iværksættes DDoS-afværgeforanstaltninger automatisk. Dette omfatter inspektion af pakker for at sikre, at de ikke er misdannede eller forfalskede, samt brug af hastighedsbegrænsning.

Standardbeskyttelse koster i øjeblikket 2.944 $ (2.204 £) pr. måned plus dataafgifter for op til 100 ressourcer. Beskyttelsen gælder på samme måde for alle ressourcer. Du kan med andre ord ikke skræddersy DDoS-afdæmpning til de enkelte.

• Du kan tilmelde dig Microsoft Azure her

opdatering: Verisigns sikkerhedstjenester er overført til Neustar.

Verisign er næsten lige så gammel som selve internettet. Siden 1995 er det vokset fra en simpel certificeringsmyndighed til en stor aktør i netværkstjenesteindustrien.

Verisign DDoS-beskyttelse opererer i skyen. Brugerne kan vælge at omdirigere forbindelsesforsøg med en simpel ændring af deres DNS (Domain Name Server)-indstillinger. Trafikken sendes til Verisign til kontrol for at forhindre netværksangreb. Verisign analyserer al trafik grundigt, inden den omdirigeres.

Da Verisign driver to af de tretten globale rutenavneservere, bør det ikke komme som nogen overraskelse, at organisationen også opretholder flere dedikerede DDoS-“scrubbing-centre”. Disse analyserer trafikken og filtrerer dårlige forbindelsesanmodninger fra. Den kombinerede infrastruktur løber op til næsten 2 TB/s og kan blokere selv de mest overvældende DDoS-angreb.

Dette opnås i vid udstrækning via Athena, Verisigns platform til afbødning af trusler. Athena er groft sagt opdelt i tre elementer. “Shield” filtrerer netværks- (lag 3) og transport- (lag 4) angreb via DPI (Deep Packet Inspection), blacklists & whitelists og site reputation management. Athena-“proxyen” inspicerer HTTP-headere for dårlig trafik under de første forbindelsesforsøg. ‘Proxyen’ og ‘skjoldet’ understøttes af Athenas ‘load balancer’, som er med til at forhindre applikationsangreb (lag 7).

Kundeportalen viser detaljerede rapporter om trafikken og giver dig mulighed for at konfigurere din trusselsstyring, f.eks. ved at oprette sortlister over forbindelser. For brugere, der er tilbageholdende med at udrulle alt til skyen, tilbyder Verisign også OpenHybrid, som kan installeres på stedet.

• Du kan tilmelde dig Verisign DDoS Protection her

Image Credit: Wikimedia Commons (Antoine Lamielle)