Nejlepší ochrana proti DDoS v roce 2021

V říjnu 2016 byl poskytovatel DNS Dyn zasažen rozsáhlým útokem DDoS (Distributed Denial of Service) armádou zařízení IoT, která byla speciálně pro tento účel hacknuta. Více než 14 000 domén využívajících služby společnosti Dyn bylo přepadeno a stalo se nedostupnými, včetně velkých jmen jako Amazon, HBO a PayPal.

Podle výzkumu společnosti Cloudflare činí průměrné náklady podniků na výpadek infrastruktury 100 000 dolarů (75 000 Kč) za hodinu. Jak tedy zajistit, aby se vaše organizace nestala obětí takového útoku. V tomto průvodci objevíte hlavní poskytovatele infrastruktury, kteří mají potřebné digitální síly k ochraně před útoky, jejichž cílem je zaplavit kapacitu vaší sítě.

Zjistíte také, kteří poskytovatelé mohou nabídnout ochranu proti sofistikovanějším aplikačním útokům (vrstva 7), které lze provést bez obrovského počtu hacknutých počítačů (někdy označovaných jako botnet).

• Vyzdvihli jsme také nejlepší webhostingové služby.

Project Shield je výtvorem společnosti Jigsaw, odnože mateřské společnosti Google Alphabet. Vývoj začal před několika lety pod vedením George Conarda v důsledku útoků na webové stránky týkající se monitorování voleb a lidských práv na Ukrajině.

Project Shield dokáže filtrovat potenciální škodlivý provoz tím, že funguje jako reverzní proxy server, který se nachází mezi webovou stránkou a internetem jako celkem a filtruje požadavky na připojení. Pokud se zdá, že připojení pochází od legitimního návštěvníka, Project Shield požadavek na připojení povolí. Pokud je požadavek na připojení označen jako špatný, např. více pokusů o připojení ze stejné IP adresy, je zablokován. Díky tomuto systému lze Project Shield velmi snadno implementovat jednoduchou změnou nastavení DNS serveru.

Každého zkušeného čtenáře možná zajímá, jak bude filtrování provozu přes proxy server fungovat s protokolem SSL. Naštěstí na to společnost Jigsaw myslela a připravila komplexní návod, který zajistí bezproblémové fungování zabezpečených připojení k vašemu webu. V sekci podpory je k dispozici také několik dalších návodů.

V současné době je Project Shield k dispozici pouze pro webové stránky týkající se médií, monitorování voleb a lidských práv. Primárně se zaměřuje také na malé webové stránky s nedostatečnými zdroji, které si nemohou dovolit drahá hostingová řešení na ochranu před DDoS. Pokud vaše organizace těmto požadavkům neodpovídá, budete možná muset zvážit alternativní řešení, například Cloudflare.

• Projekt Shield můžete zaregistrovat zde

Kdo v posledních letech používal internet, bude společnost Cloudflare znát, protože její ochranu využívá mnoho významných webových stránek. Ačkoli společnost Cloudflare sídlí v USA, má více než 180 datových center po celém světě: infrastruktura, která může konkurovat té od společnosti Google. To maximalizuje šance vašeho webu zůstat online.

Každý uživatel služby Cloudflare se může rozhodnout aktivovat režim „Jsem pod útokem“, který dokáže chránit i před těmi nejsofistikovanějšími útoky DoS tím, že představuje výzvu v jazyce Javascript. Cloudflare také běžně funguje jako reverzní proxy server, který sedí mezi návštěvníky a hostitelem vašeho webu a filtruje provoz podobně jako Project Shield společnosti Jigsaw. V březnu 2019 společnost Cloudflare představila službu Spectrum for UDP, která poskytuje ochranu proti DDoS a bránu firewall pro nespolehlivé protokoly.

Návštěvníci, kteří zadávají požadavky na připojení, musí projít hozenou rukavicí sofistikovaných filtrů včetně reputace webu, toho, zda jejich IP není na černé listině a zda se jim hlavička HTTP nezdá podezřelá. Požadavky HTTP jsou opatřeny otisky prstů, aby byly chráněny před známými botnety. Jako gigant v oboru může společnost Cloudflare snadno využít svého postavení sdílením informací o více než 7 milionech webových stránek, které spravuje.

Cloudflare nabízí zdarma základní balíček, který zahrnuje neměřené zmírňování DDoS. Pro ty, kteří jsou ochotni zaplatit za firemní předplatné Cloudflare (ceny začínají na 200 dolarech nebo 149 librách měsíčně), je k dispozici pokročilejší ochrana, například nahrávání vlastních certifikátů SSL.

• Ke službě Cloudflare se můžete přihlásit zde

OchranuAWS Shield poskytují dobří lidé z Amazon web services. Úroveň „Standard“ je k dispozici všem zákazníkům AWS bez příplatku. To je ideální, protože mnoho malých firem se rozhodlo hostovat své webové stránky u společnosti Amazon. Ochrana AWS Shield Standard je k dispozici všem zákazníkům bez příplatku. Chrání před typičtějšími síťovými (vrstva 3) a transportními (vrstva 4) útoky při použití služeb Amazon Cloud Front a Route 53.

To by mělo odradit všechny hackery kromě těch nejodhodlanějších. Nicméně vaše šířka pásma, např. 15 Gbp/s, bude stále omezena velikostí vaší instance Amazon, což hackerům umožňuje provést útok DoS, pokud mají dostatek prostředků. Ještě horší je, že zůstáváte zodpovědní za placení dalšího provozu do vaší instance.

Pro zmírnění tohoto problému nabízí Amazon také AWS Shield Advanced. Předplatné zahrnuje ochranu proti nákladům na DDoS, která vás může zachránit před obrovským nárůstem měsíčního účtu za používání, pokud se stanete obětí útoku. AWS Shield Advanced může také nasadit vaše seznamy ACL (Access Control Lists) na hranici samotné sítě AWS, což vám poskytne ochranu i před těmi největšími útoky.

Předplatitelé služby Advanced mohou také využívat nepřetržitou službu DRT (DDoS response team) a také podrobné metriky všech útoků na vaše instance. Jistota, kterou poskytuje AWS Shield Advanced, je však drahá. Musíte být ochotni si ji předplatit minimálně na jeden rok za cenu 3 000 USD (2 200 Kč) měsíčně. To je navíc k nákladům na přenos dat, které můžete hradit na bázi „pay as you go“.

• Štít AWS můžete zaregistrovat zde

Podobně jako Amazon, Microsoft nabízí možnost pronájmu prostoru pro služby prostřednictvím své služby Azure. Všichni členové využívají základní ochranu proti DDoS. Funkce zahrnují nepřetržité monitorování provozu a zmírňování síťových útoků (vrstva 3) v reálném čase pro všechny veřejné IP adresy, které používáte. Jedná se o naprosto stejný typ ochrany, jaký je poskytován vlastním online službám společnosti Microsoft, a k pohlcení útoků DDoS lze využít veškeré prostředky sítě Azure.

Pro organizace, které potřebují sofistikovanější ochranu, nabízí Azure také úroveň „Standard“. Ta je všeobecně chválena pro velmi snadné zapnutí, které vyžaduje jen několik kliknutí myší. Zásadní je, že Azure nevyžaduje žádné změny v aplikacích, ačkoli standardní úroveň nabízí ochranu proti aplikačním (vrstva 7) DDoS útokům prostřednictvím brány firewall webových aplikací. Pokud dojde k útoku, Azure monitor vám v reálném čase ukáže metriky. Ty se uchovávají po dobu 30 dnů a v případě potřeby je lze exportovat pro další studium.

Azure neustále kontroluje webový provoz na vašich prostředcích. Pokud tyto překročí předem definovanou hranici, automaticky se spustí zmírňování DDoS. To zahrnuje kontrolu paketů, aby se zajistilo, že nejsou malformované nebo podvržené, a také použití omezování rychlosti.

Standardní ochrana v současné době stojí 2 944 USD (2 204 Kč) měsíčně plus poplatky za data až pro 100 zdrojů. Ochrana se vztahuje stejně na všechny zdroje. Jinými slovy nelze přizpůsobit zmírnění DDoS pro jednotlivé z nich.

• Pro Microsoft Azure se můžete zaregistrovat zde

Aktualizace: Bezpečnostní služby společnosti Verisign jsou převedeny na společnost Neustar.

Služba Verisign je téměř stejně stará jako samotný internet. Od roku 1995 se z pouhé certifikační autority stala významným hráčem v oblasti síťových služeb.

Ochrana DDoS společnosti Verisign funguje v cloudu. Uživatelé se mohou rozhodnout přesměrovat pokusy o připojení jednoduchou změnou nastavení DNS (Domain Name Server). Provoz je odesílán společnosti Verisign ke kontrole, aby se zabránilo síťovým útokům. Společnost Verisign před přesměrováním veškerý provoz důkladně analyzuje.

Jelikož společnost Verisign provozuje dva ze třinácti globálních směrových jmenných serverů, nemělo by být překvapením, že tato organizace udržuje také několik specializovaných „čisticích center“ pro DDoS. Ta analyzují provoz a filtrují špatné požadavky na připojení. Kombinovaná infrastruktura dosahuje rychlosti téměř 2 TB/s a dokáže blokovat i ty nejdrtivější útoky DDoS.

Toho je z velké části dosaženo prostřednictvím platformy Athena, která je součástí společnosti Verisign pro zmírňování hrozeb. Athena se obecně dělí na tři prvky. ‚Štít‘ filtruje síťové (vrstva 3) a transportní (vrstva 4) útoky prostřednictvím DPI (Deep Packet Inspection), blacklistů & whitelistů a správy reputace stránek. Athena ‚proxy‘ kontroluje hlavičky HTTP na špatný provoz během prvních pokusů o připojení. ‚Proxy‘ a ‚štít‘ jsou podporovány ‚load balancerem‘ Athena, který pomáhá předcházet útokům na aplikace (vrstva 7).

Zákaznický portál zobrazuje podrobné zprávy o provozu a umožňuje konfigurovat správu hrozeb, například vytvářením blacklistů připojení. Pro uživatele, kteří se zdráhají vše nasadit do cloudu, nabízí společnost Verisign také řešení OpenHybrid, které lze nainstalovat přímo na místě.

• Ochranu proti DDoS od společnosti Verisign si můžete zaregistrovat zde

Obrázek: Wikimedia Commons (Antoine Lamielle)

.