Beste DDoS-bescherming van 2021

In oktober 2016 werd DNS-provider Dyn getroffen door een grote DDoS-aanval (Distributed Denial of Service) door een leger van IoT-apparaten die speciaal voor het doel waren gehackt. Meer dan 14.000 domeinen die gebruik maken van de diensten van Dyn werden overwhlemed en werden onbereikbaar, waaronder grote namen als Amazon, HBO, en PayPal.

Volgens onderzoek van Cloudflare bedragen de gemiddelde kosten van infrastructuurstoringen voor bedrijven $ 100.000 (£ 75.000) per uur. Hoe kunt u er dan voor zorgen dat uw organisatie niet het slachtoffer wordt van dit soort aanvallen? In deze gids ontdekt u belangrijke infrastructuurleveranciers die over de nodige digitale spierkracht beschikken om bescherming te bieden tegen aanvallen die erop gericht zijn uw netwerkcapaciteit te overbelasten.

U zult ook ontdekken welke providers bescherming kunnen bieden tegen geavanceerdere applicatie-aanvallen (laag 7), die kunnen worden uitgevoerd zonder een enorm aantal gehackte computers (ook wel bekend als een botnet).

• We hebben ook de beste webhostingdiensten uitgelicht.

Project Shield is de creatie van Jigsaw, een uitloper van Google’s moederbedrijf Alphabet. De ontwikkeling begon enkele jaren geleden onder leiding van George Conard in de nasleep van aanvallen op websites over verkiezingswaarneming en mensenrechten in Oekraïne.

Project Shield kan mogelijk kwaadaardig verkeer filteren door op te treden als een omgekeerde proxy die tussen een website en het internet in het algemeen zit en verbindingsverzoeken filtert. Als een verbinding van een legitieme bezoeker lijkt te komen, staat Project Shield het verzoek om verbinding toe. Als wordt vastgesteld dat een verbindingsverzoek slecht is, bijv. meerdere verbindingspogingen vanaf hetzelfde IP-adres, dan wordt het geblokkeerd. Dit systeem maakt Project Shield zeer eenvoudig te implementeren door eenvoudig de DNS instellingen van uw server te veranderen.

De power users die meelezen vragen zich misschien af hoe het filteren van verkeer via een proxy zal werken met SSL. Gelukkig heeft Jigsaw hier aan gedacht en een uitgebreide handleiding samengesteld om ervoor te zorgen dat veilige verbindingen naar uw site naadloos werken. Verschillende andere tutorials zijn ook beschikbaar in de support sectie.

Op dit moment is Project Shield alleen beschikbaar voor media, verkiezingswaarneming en mensenrechten gerelateerde websites. De primaire focus ligt ook op kleine websites met te weinig middelen, die zich geen dure hosting-oplossingen kunnen veroorloven om zich te beschermen tegen DDoS. Als uw organisatie niet aan deze eisen voldoet, moet u wellicht een alternatieve oplossing zoals Cloudflare overwegen.

• U kunt zich hier aanmelden voor Project Shield

Iedereen die de afgelopen jaren het internet heeft gebruikt, zal bekend zijn met Cloudflare, aangezien veel grote websites gebruikmaken van de beveiliging ervan. Hoewel Cloudflare in de VS is gevestigd, heeft het meer dan 180 datacenters over de hele wereld: een infrastructuur die kan wedijveren met die van Google. Dit maximaliseert de kansen van uw site om online te blijven.

Elke Cloudflare-gebruiker kan ervoor kiezen om de ‘Ik word aangevallen’-modus te activeren, die zelfs tegen de meest geavanceerde DoS-aanvallen kan beschermen door een Javascript-uitdaging te presenteren. Bij wijze van routine fungeert Cloudflare ook als een reverse proxy die tussen bezoekers en de host van uw site zit om verkeer te filteren op vrijwel dezelfde manier als Jigsaw’s Project Shield. In maart 2019 introduceerde Cloudflare Spectrum voor UDP, dat DDoS-bescherming en firewalling biedt voor onbetrouwbare protocollen.

Visitors die verbindingsverzoeken doen, moeten een handschoen van geavanceerde filters doorlopen, waaronder site-reputatie, of hun IP op de Blacklist staat en of de HTTP-header verdacht lijkt. HTTP-verzoeken worden op vingerafdrukken gecontroleerd om bescherming te bieden tegen bekende botnets. Als een reus in de industrie, kan Cloudflare gemakkelijk gebruik maken van zijn positie door het delen van informatie over de meer dan 7 miljoen websites die het beheert.

Cloudflare biedt een gratis basispakket dat DDoS-mitigatie zonder dosering omvat. Voor degenen die bereid zijn te betalen voor een zakelijk Cloudflare-abonnement (prijzen beginnen bij $ 200 of £ 149 per maand), is meer geavanceerde bescherming beschikbaar, zoals aangepaste uploads van SSL-certificaten.

• U kunt zich hier aanmelden voor Cloudflare

AWS Shield bescherming wordt geleverd door de goede mensen van Amazon web services. De ‘Standard’ tier is beschikbaar voor alle AWS klanten zonder extra kosten. Dit is ideaal omdat veel kleine bedrijven ervoor kiezen hun websites bij Amazon te hosten. AWS Shield Standard is beschikbaar voor alle klanten zonder extra kosten. Het beschermt tegen meer typische netwerk (laag 3) en transport (laag 4) aanvallen bij gebruik van Amazon’s Cloud Front en Route 53 diensten.

Dit zou alle hackers, behalve de meest vastberaden, moeten afschrikken. Echter, uw bandbreedte, bijv. 15Gbp/s zal nog steeds worden beperkt door de grootte van uw Amazon instance waardoor het haalbaar is voor hackers om een DoS aanval uit te voeren als ze voldoende middelen hebben. Erger nog je blijft verantwoordelijk voor het betalen voor het extra verkeer naar je instance.

Om dit te verzachten biedt Amazon ook AWS Shield Advanced aan. Een abonnement inclusief DDoS-kostenbescherming, die u kan behoeden voor een enorme piek in uw maandelijkse gebruiksrekening als u het slachtoffer bent van een aanval. AWS Shield Advanced kan ook uw ACL’s (Access Control Lists) uitrollen tot aan de grens van het AWS netwerk zelf waardoor u zelfs tegen de grootste aanvallen beschermd bent.

Advanced abonnees profiteren ook van een DRT (DDoS response team) dat 24 uur per dag beschikbaar is, evenals gedetailleerde statistieken over alle aanvallen op uw instances. De gemoedsrust geboden door AWS Shield Advanced is echter duur. U moet bereid zijn om een abonnement van minimaal een jaar te nemen voor een prijs van $3.000 (£2.200) per maand. Dit komt bovenop de kosten voor het gebruik van gegevensoverdracht die u kunt dekken op een ‘pay as you go’-basis.

• U kunt zich hier aanmelden voor AWS Shield

Net als Amazon, Microsoft biedt de mogelijkheid om service ruimte te huren via hun dienst Azure. Alle leden profiteren van basis DDoS-bescherming. De functies omvatten altijd on traffic monitoring en real time mitigation van netwerk (laag 3) aanvallen voor alle publieke IP-adressen die u gebruikt. Dit is precies hetzelfde type bescherming dat wordt geboden aan Microsofts eigen online diensten en de volledige middelen van het Azure-netwerk kunnen worden gebruikt om DDoS-aanvallen op te vangen.

Voor organisaties die behoefte hebben aan meer geavanceerde bescherming biedt Azure ook een ‘Standard’ tier. Dit wordt alom geprezen omdat het zeer eenvoudig in te schakelen is, met slechts een paar klikken van de muis. Cruciaal is dat Azure niet vereist dat u wijzigingen aanbrengt in uw apps, hoewel de standaard tier wel bescherming biedt tegen applicatie (laag 7) DDoS aanvallen via de app gateway web app firewall. Azure monitor kan u real time metrics laten zien als er een aanval plaatsvindt. Deze worden 30 dagen bewaard en kunnen desgewenst worden geëxporteerd voor verdere bestudering.

Azure controleert voortdurend het webverkeer naar uw bronnen. Als dit een vooraf gedefinieerde drempel overschrijdt, wordt automatisch een DDoS-mitigatie gestart. Dit omvat het inspecteren van pakketten om ervoor te zorgen dat ze niet misvormd of gespoofed zijn, evenals het gebruik van snelheidsbeperking.

Standaardbescherming kost momenteel $2.944 (£2.204) per maand plus datakosten voor maximaal 100 bronnen. De bescherming geldt in gelijke mate voor alle bronnen. Met andere woorden, je kunt DDoS-mitigatie niet op maat maken voor individuele bronnen.

• U kunt zich hier aanmelden voor Microsoft Azure

Update: De beveiligingsdiensten van Verisign worden overgedragen aan Neustar.

Verisign is bijna zo oud als het Internet zelf. Sinds 1995 is het uitgegroeid van een eenvoudige Certificate Authority tot een belangrijke speler in de Network Services industrie.

Verisign DDoS-bescherming werkt in de Cloud. Gebruikers kunnen ervoor kiezen om verbindingspogingen om te leiden met een eenvoudige wijziging van hun DNS-instellingen (Domain Name Server). Het verkeer wordt ter controle naar Verisign gestuurd om netwerkaanvallen te voorkomen. Verisign analyseert al het verkeer grondig voordat het wordt omgeleid.

Aangezien Verisign twee van de dertien wereldwijde route name servers beheert, mag het geen verrassing zijn dat de organisatie ook diverse speciale DDoS-“scrubbing-centra” onderhoudt. Deze analyseren het verkeer en filteren slechte verbindingsverzoeken eruit. De gecombineerde infrastructuur loopt op tot bijna 2 TB/s en kan zelfs de meest overweldigende DDoS-aanvallen blokkeren.

Dit wordt grotendeels bereikt via Athena, het platform van Verisign om bedreigingen te beperken. Athena is grofweg onderverdeeld in drie elementen. Het ‘schild’ filtert netwerk- (laag 3) en transport- (laag 4) aanvallen via DPI (Deep Packet Inspection), blacklists & whitelists en site-reputatiebeheer. De Athena ‘proxy’ inspecteert HTTP headers op slecht verkeer tijdens de eerste verbindingspogingen. De ‘proxy’ en ‘shield’ worden ondersteund door Athena’s ‘load balancer’ die applicatie (laag 7) aanvallen helpt te voorkomen.

Het klantenportaal toont gedetailleerde rapporten over verkeer en stelt u in staat uw threat management te configureren, bijvoorbeeld door het maken van connection blacklists. Voor gebruikers die er tegenop zien om alles in de cloud uit te rollen, biedt Verisign ook OpenHybrid aan, dat op locatie kan worden geïnstalleerd.

• U kunt zich hier aanmelden voor DDoS-bescherming van Verisign

Image Credit: Wikimedia Commons (Antoine Lamielle)