Melhor protecção DDoS de 2021

Em outubro de 2016 o provedor de DNS Dyn foi atingido por um grande ataque DDoS (Distributed Denial of Service) por um exército de dispositivos IoT que tinham sido hackeados especialmente para essa finalidade. Mais de 14.000 domínios usando os serviços da Dyn foram superlotados e ficaram inacessíveis, incluindo grandes nomes como Amazon, HBO, e PayPal.

De acordo com a pesquisa da Cloudflare, o custo médio de falha de infra-estrutura para as empresas é de $100.000 (£75.000) por hora. Como então você pode ter certeza de que sua organização não seja vítima deste tipo de ataque. Neste guia você vai descobrir os principais fornecedores de infra-estrutura que têm o músculo digital necessário para proteger contra ataques destinados a inundar a sua capacidade de rede.

Você também descobrirá quais provedores podem oferecer proteção contra ataques de aplicativos mais sofisticados (camada 7), que podem ser realizados sem um grande número de computadores hackeados (às vezes conhecidos como botnet).

• Destacamos também os melhores serviços de alojamento web.

Project Shield é a criação do Jigsaw, um ramo da empresa-mãe do Google, a Alphabet. O desenvolvimento começou há vários anos sob George Conard, na sequência de ataques a sites relacionados com monitorização eleitoral e direitos humanos na Ucrânia.

Project Shield é capaz de filtrar tráfego malicioso potencial actuando como proxy reverso que se situa entre um site e a Internet em geral, filtrando pedidos de ligação. Se uma conexão parece ser de um visitante legítimo, o Project Shield permite o pedido de conexão. Se um pedido de conexão for determinado como sendo ruim, por exemplo, várias tentativas de conexão a partir do mesmo endereço IP, então ele é bloqueado. Este sistema torna o Project Shield extremamente fácil de implementar simplesmente alterando as configurações DNS do seu servidor.

Any power users reading may wonder how filtering traffic via a proxy will work with SSL. Felizmente, o Jigsaw pensou nisso e elaborou um tutorial abrangente para garantir que as conexões seguras ao seu site funcionem perfeitamente. Vários outros tutoriais também estão disponíveis na seção de suporte.

Currentemente o Project Shield só está disponível para mídia, monitoramento de eleições e sites relacionados aos direitos humanos. O foco principal é também em pequenos sites com poucos recursos, que não podem arcar com soluções de hospedagem caras para se protegerem para o DDoS. Se a sua organização não atender a esses requisitos, você pode ter que considerar uma solução alternativa, como o Cloudflare.

• Você pode se inscrever no Project Shield aqui

Uma pessoa que tenha utilizado a Internet nos últimos anos estará familiarizada com o Cloudflare, uma vez que muitos dos principais websites fazem uso da sua protecção. Embora o Cloudflare esteja baseado nos EUA, ele mantém mais de 180 centros de dados ao redor do mundo: uma infra-estrutura para rivalizar com a do Google. Isto maximiza as chances de seu site ficar online.

Todos os usuários do Cloudflare podem escolher ativar o modo ‘Estou sob ataque’, que pode proteger até mesmo contra os mais sofisticados ataques DoS, apresentando um desafio Javascript. Como uma questão de rotina o Cloudflare também atua como um proxy reverso sentado entre os visitantes e seu site hospedeiro para filtrar o tráfego da mesma forma que o Projeto Escudo do Jigsaw. Em março de 2019, o Cloudflare introduziu o Spectrum for UDP, que fornece proteção DDoS e firewalling para protocolos não confiáveis.

Os visitantes que fazem pedidos de conexão têm que rodar um gauntlet de filtros sofisticados, incluindo a reputação do site, se o seu IP foi colocado na lista negra e se o cabeçalho HTTP parece suspeito. Os pedidos HTTP são impressos com os dedos para proteger contra botnets conhecidos. Como um gigante da indústria, o Cloudflare pode facilmente alavancar sua posição ao compartilhar informações através dos mais de 7 milhões de sites gerenciados por ele.

Cloudflare oferece um pacote básico gratuito que inclui mitigação de DDoS não-configurada. Para aqueles que estão dispostos a pagar por uma subscrição empresarial Cloudflare (os preços começam em $200 ou £149 por mês), está disponível uma protecção mais avançada, tal como uploads de certificados SSL personalizados.

• Você pode se inscrever no Cloudflare aqui

AWS A proteção do escudo é fornecida pelas boas pessoas dos serviços web da Amazon. O nível ‘Standard’ está disponível para todos os clientes AWS sem custos adicionais. Isto é ideal, já que muitas pequenas empresas escolhem hospedar seus websites com a Amazon. O AWS Shield Standard está disponível para todos os clientes sem custos adicionais. Ele protege contra ataques mais típicos de rede (camada 3) e transporte (camada 4) quando são utilizados os serviços Amazon’s Cloud Front e Route 53.

Isto deve adiar todos os hackers, excepto os mais determinados. No entanto, a sua largura de banda, por exemplo, 15Gbp/s ainda será limitada pelo tamanho da sua instância Amazon, tornando viável para os hackers realizar um ataque DoS, se eles tiverem recursos suficientes. Pior ainda, você continua responsável pelo pagamento do tráfego extra à sua instância.

Para mitigar este problema, a Amazon também oferece o AWS Shield Advanced. Uma Subscrição inclui protecção de custos DDoS, que pode salvá-lo de um enorme pico na sua conta de utilização mensal se for vítima de um ataque. O AWS Shield Advanced também pode implementar as suas ACL’s (listas de controlo de acesso) na fronteira da própria rede AWS, dando-lhe protecção até contra o maior dos ataques.

Advanced Subscribers também beneficiam de um DRT (equipa de resposta DDoS) permanente, bem como de métricas detalhadas sobre quaisquer ataques às suas instâncias. No entanto, a parte de espírito proporcionada pelo AWS Shield Advanced é dispendiosa. Deve estar disposto a subscrever por um mínimo de um ano por um preço de 3.000 dólares (£2.200) por mês. Isto é, além dos custos de transferência de dados, que você pode cobrir com base no “pague à medida que você vai”.

• Pode subscrever AWS Shield aqui

Like Amazon, A Microsoft oferece a opção de alugar espaço de serviço através do seu serviço Azure. Todos os membros beneficiam de protecção básica DDoS. As características incluem sempre o monitoramento do tráfego e a atenuação em tempo real dos ataques de rede (camada 3) para qualquer endereço IP público que você usar. Este é o mesmo tipo de proteção oferecida aos próprios serviços online da Microsoft e todos os recursos da rede Azure podem ser usados para absorver os ataques DDoS.

Para organizações que necessitam de uma protecção mais sofisticada, o Azure também oferece um nível ‘Standard’. Isto tem sido amplamente elogiado por ser muito fácil de activar, exigindo apenas alguns cliques do seu rato. O Azure não exige que você faça nenhuma alteração nos seus aplicativos, embora a camada padrão ofereça proteção contra ataques DDoS (camada 7) através do firewall do aplicativo web gateway. O monitor Azure pode mostrar métricas em tempo real caso ocorra um ataque. Estas são retidas por 30 dias e podem ser exportadas para estudo adicional, se você desejar.

Azure verifica constantemente o tráfego web para os seus recursos. Se estes excederem um limite pré-definido, a mitigação DDoS é automaticamente iniciada. Isto inclui a inspeção de pacotes para garantir que não sejam malformados ou falsificados, bem como o uso de limitação de taxa.

Proteção padrão é atualmente $2.944 (£2.204) por mês mais taxas de dados para até 100 recursos. A protecção aplica-se igualmente a todos os recursos. Em outras palavras, você não pode personalizar a mitigação DDoS para os recursos individuais.

• Você pode se inscrever no Microsoft Azure aqui

Atualizar: Os serviços de segurança da Verisign são transferidos para o Neustar.

Verisign é quase tão antigo quanto a própria Internet. Desde 1995 tem crescido de uma simples Autoridade Certificadora para um grande player na indústria de Serviços de Rede.

Verisign DDoS protecção opera na Nuvem. Os usuários podem optar por redirecionar as tentativas de conexão com uma simples mudança nas configurações do seu DNS (Domain Name Server). O tráfego é enviado para a Verisign para verificação para prevenir ataques de rede. A Verisign analisa todo o tráfego cuidadosamente antes do redirecionamento.

Como a Verisign opera dois dos treze servidores de nomes de rotas globais, não deve ser surpresa que a organização também mantenha vários “centros de lavagem” dedicados ao DDoS. Estes analisam o tráfego e filtram as solicitações de conexão ruins. A infra-estrutura combinada roda a quase 2TB/s e pode bloquear até mesmo os mais esmagadores ataques DDoS.

Isso é amplamente alcançado via Athena, a plataforma de mitigação de ameaças da Verisign. Athena está amplamente dividida em três elementos. O ‘Shield’ filtra a rede (camada 3) e os ataques de transporte (camada 4) via DPI (Deep Packet Inspection), listas negras & whitelists e gerenciamento da reputação do local. O ‘proxy’ Athena inspeciona os cabeçalhos HTTP em busca de tráfego ruim durante as tentativas iniciais de conexão. O ‘proxy’ e o ‘escudo’ são suportados pelo ‘balanceador de carga’ do Athena, que ajuda a prevenir ataques de aplicativos (camada 7).

O portal do cliente exibe relatórios detalhados sobre o tráfego e permite configurar o gerenciamento de ameaças, por exemplo, criando listas negras de conexão. Para usuários que estão relutantes em implantar tudo na nuvem, Verisign também oferece OpenHybrid que pode ser instalado no local.

• Você pode se inscrever para Verisign DDoS Protection aqui

Image Credit: Wikimedia Commons (Antoine Lamielle)