Najlepsza ochrona DDoS roku 2021

Project Shield

Project Shield jest dziełem Jigsaw, oddziału firmy macierzystej Google, Alphabet. Rozwój rozpoczął się kilka lat temu pod George Conard w następstwie ataków na monitorowanie wyborów i stron związanych z prawami człowieka na Ukrainie.

Project Shield jest w stanie filtrować potencjalnie złośliwy ruch, działając jako odwrotne proxy, które siedzi między stroną internetową a Internetem w ogóle, filtrując żądania połączenia. Jeśli połączenie wydaje się być z legalnego gościa Project Shield pozwala na żądanie połączenia. Jeśli żądanie połączenia zostanie określone jako złe, np. wielokrotne próby połączenia z tego samego adresu IP, wtedy jest ono blokowane. System ten sprawia, że Project Shield jest niezwykle łatwy do wdrożenia po prostu poprzez zmianę ustawień DNS Twojego serwera.

Każdy zaawansowany użytkownik czytający może się zastanawiać, jak filtrowanie ruchu przez proxy będzie działać z SSL. Na szczęście Jigsaw pomyślał o tym i stworzył obszerny tutorial, aby upewnić się, że bezpieczne połączenia z Twoją witryną działają bezproblemowo. Kilka innych samouczków jest również dostępnych w sekcji wsparcia.

Obecnie Project Shield jest dostępny tylko dla mediów, monitorowania wyborów i stron związanych z prawami człowieka. Główny nacisk kładziony jest również na małe, niedofinansowane strony internetowe, które nie mogą sobie pozwolić na drogie rozwiązania hostingowe, aby chronić się przed DDoS. Jeśli Twoja organizacja nie spełnia tych wymagań, być może będziesz musiał rozważyć alternatywne rozwiązanie, takie jak Cloudflare.

• Możesz zapisać się do Projektu Shield tutaj

Każdy, kto korzystał z Internetu w ciągu ostatnich kilku lat, będzie zaznajomiony z Cloudflare, ponieważ wiele głównych stron internetowych korzysta z jego ochrony. Chociaż Cloudflare ma siedzibę w USA, utrzymuje ponad 180 centrów danych na całym świecie: infrastruktura rywalizuje z Google. To zwiększa szanse Twojej witryny na pozostanie online.

Każdy użytkownik Cloudflare może włączyć tryb „Jestem atakowany”, który może chronić przed nawet najbardziej wyrafinowanymi atakami DoS poprzez przedstawienie wyzwania Javascript. W ramach rutyny Cloudflare działa również jako odwrotne proxy siedzące między odwiedzającymi a hostem witryny, aby filtrować ruch w bardzo podobny sposób, jak Project Shield firmy Jigsaw. W marcu 2019 roku Cloudflare wprowadził Spectrum for UDP, który zapewnia ochronę przed DDoS i zaporę ogniową dla zawodnych protokołów.

Odwiedzający wykonujący żądania połączenia muszą uruchomić rękawicę wyrafinowanych filtrów, w tym reputację witryny, czy ich IP zostało wpisane na czarną listę i czy nagłówek HTTP wydaje się podejrzany. Żądania HTTP są drukowane palcem, aby chronić przed znanymi botnetami. Jako gigant branży, Cloudflare może łatwo wykorzystać swoją pozycję, dzieląc się informacjami na temat ponad 7 milionów stron internetowych, którymi zarządza.

Cloudflare oferuje darmowy pakiet podstawowy, który zawiera nieopomiarowane łagodzenie DDoS. Dla tych, którzy są gotowi zapłacić za subskrypcję biznesową Cloudflare (ceny zaczynają się od 200 USD lub 149 GBP miesięcznie), dostępna jest bardziej zaawansowana ochrona, taka jak niestandardowe ładowanie certyfikatów SSL.

• Możesz zapisać się do Cloudflare tutaj

Ochrona TarczyAWS jest dostarczana przez dobrych ludzi z Amazon web services. Warstwa „Standard” jest dostępna dla wszystkich klientów AWS bez dodatkowych opłat. Jest to idealne rozwiązanie, ponieważ wiele małych firm decyduje się na hosting swoich stron w Amazon. AWS Shield Standard jest dostępny dla wszystkich klientów bez dodatkowych opłat. Chroni on przed bardziej typowymi atakami sieciowymi (warstwa 3) i transportowymi (warstwa 4) podczas korzystania z usług Cloud Front i Route 53 firmy Amazon.

To powinno odstraszyć wszystkich, ale najbardziej zdeterminowanych hakerów. Jednak Twoje pasmo np. 15Gbp/s nadal będzie ograniczone przez wielkość Twojej instancji Amazon, co sprawia, że hakerzy mogą przeprowadzić atak DoS, jeśli mają wystarczające zasoby. Co gorsza nadal jesteś odpowiedzialny za płacenie za dodatkowy ruch do twojej instancji.

Aby złagodzić ten problem Amazon oferuje również AWS Shield Advanced. Subskrypcja obejmuje ochronę kosztów DDoS, która może uratować Cię przed ogromnym skokiem w miesięcznym rachunku za użytkowanie, jeśli jesteś ofiarą ataku. AWS Shield Advanced może również wdrożyć swoje ACL (Access Control Lists) do granicy sieci AWS, dając Ci ochronę przed nawet największymi atakami.

Zaawansowani subskrybenci korzystają również z całodobowego zespołu DRT (zespół reagowania na DDoS), jak również szczegółowych metryk dotyczących wszelkich ataków na Twoje instancje. Umysł zapewniony przez AWS Shield Advanced jest jednak kosztowny. Musisz być skłonny do subskrypcji na minimum jeden rok w cenie 3.000 dolarów (2.200 funtów) miesięcznie. Jest to dodatek do kosztów użytkowania transferu danych, które można pokryć na zasadzie „pay as you go”.

• Możesz zapisać się do AWS Shield tutaj

Like Amazon, Microsoft oferuje możliwość wynajmu przestrzeni usługowej poprzez ich usługę Azure. Wszyscy członkowie korzystają z podstawowej ochrony DDoS. Funkcje obejmują ciągłe monitorowanie ruchu i łagodzenie w czasie rzeczywistym ataków sieciowych (warstwa 3) dla wszystkich publicznych adresów IP, których używasz. Jest to ten sam rodzaj ochrony, który Microsoft zapewnia swoim własnym usługom online, a całe zasoby sieci Azure mogą być wykorzystane do absorpcji ataków DDoS.

Dla organizacji potrzebujących bardziej wyrafinowanej ochrony Azure oferuje również warstwę „Standard”. Jest on powszechnie chwalony za to, że jest bardzo łatwy do uruchomienia, wymagający zaledwie kilku kliknięć myszką. Co istotne, Azure nie wymaga wprowadzania żadnych zmian w aplikacjach, chociaż standardowa warstwa oferuje ochronę przed atakami DDoS aplikacji (warstwa 7) za pośrednictwem zapory sieciowej aplikacji App Gateway. Monitor Azure może pokazać metryki w czasie rzeczywistym, jeśli atak ma miejsce. Są one przechowywane przez 30 dni i mogą być wyeksportowane do dalszych badań, jeśli chcesz.

Azure stale sprawdza ruch sieciowy do Twoich zasobów. Jeśli przekroczy on zdefiniowany wcześniej próg, automatycznie uruchamiane jest łagodzenie skutków DDoS. Obejmuje to sprawdzanie pakietów w celu upewnienia się, że nie są one źle sformatowane lub sfałszowane, a także stosowanie ograniczenia prędkości.

Standardowa ochrona wynosi obecnie $2,944 (£2,204) miesięcznie plus opłaty za dane dla maksymalnie 100 zasobów. Ochrona dotyczy w równym stopniu wszystkich zasobów. Innymi słowy nie można dostosować łagodzenia DDoS dla poszczególnych zasobów.

• Możesz zapisać się do Microsoft Azure tutaj

Uaktualnienie: Usługi bezpieczeństwa Verisign zostały przeniesione do Neustar.

Verisign jest prawie tak stary jak sam Internet. Od 1995 roku rozwinęła się z prostego Urzędu Certyfikacji do głównego gracza w branży usług sieciowych.

Ochrona DDoS firmy Verisign działa w chmurze. Użytkownicy mogą zdecydować się na przekierowanie prób połączenia za pomocą prostej zmiany ustawień DNS (Domain Name Server). Ruch jest wysyłany do Verisign w celu sprawdzenia, aby zapobiec atakom sieciowym. Verisign dokładnie analizuje cały ruch przed przekierowaniem.

Jako że Verisign obsługuje dwa z trzynastu globalnych serwerów nazw tras, nie powinno dziwić, że organizacja utrzymuje również kilka dedykowanych DDoS „centrów oczyszczania”. Analizują one ruch i odfiltrowują złe żądania połączeń. Połączona infrastruktura działa z prędkością prawie 2TB/s i może zablokować nawet najbardziej przytłaczające ataki DDoS.

Osiąga się to w dużej mierze dzięki Athenie, platformie łagodzenia zagrożeń Verisign. Athena jest zasadniczo podzielona na trzy elementy. Tarcza” filtruje ataki sieciowe (warstwa 3) i transportowe (warstwa 4) poprzez DPI (Deep Packet Inspection), czarne listy & białe listy i zarządzanie reputacją witryny. Athena 'proxy’ kontroluje nagłówki HTTP pod kątem złego ruchu podczas pierwszych prób połączenia. Proxy” i „shield” są wspierane przez Athena’s „load balancer”, który pomaga zapobiegać atakom aplikacji (warstwa 7).

Portal klienta wyświetla szczegółowe raporty na temat ruchu i pozwala skonfigurować zarządzanie zagrożeniami, na przykład poprzez tworzenie czarnych list połączeń. Dla użytkowników, którzy niechętnie wdrażają wszystko do chmury, Verisign oferuje również OpenHybrid, który może być zainstalowany na miejscu.

• Możesz zapisać się do Verisign DDoS Protection tutaj

Image Credit: Wikimedia Commons (Antoine Lamielle)

.