Cea mai bună protecție DDoS din 2021

În octombrie 2016, furnizorul de DNS Dyn a fost lovit de un atac DDoS (Distributed Denial of Service) de proporții de către o armată de dispozitive IoT care fuseseră piratate special în acest scop. Peste 14.000 de domenii care foloseau serviciile Dyn au fost suprasolicitate și au devenit inaccesibile, inclusiv nume mari precum Amazon, HBO și PayPal.

Potrivit unei cercetări efectuate de Cloudflare, costul mediu al eșecului infrastructurii pentru întreprinderi este de 100.000 de dolari (75.000 de lire sterline) pe oră. Cum vă puteți asigura atunci că organizația dvs. nu cade victimă a acestui tip de atac. În acest ghid veți descoperi principalii furnizori de infrastructură care dispun de forța digitală necesară pentru a se proteja împotriva atacurilor menite să vă inunde capacitatea rețelei.

Vă veți descoperi, de asemenea, care sunt furnizorii care pot oferi protecție împotriva atacurilor mai sofisticate ale aplicațiilor (nivelul 7), care pot fi efectuate fără un număr mare de calculatoare piratate (cunoscute uneori sub numele de botnet).

• Am evidențiat, de asemenea, cele mai bune servicii de găzduire web.

Project Shield este o creație a Jigsaw, o ramură a companiei mamă a Google, Alphabet. Dezvoltarea a început în urmă cu mai mulți ani, sub conducerea lui George Conard, în urma atacurilor asupra site-urilor web de monitorizare a alegerilor și a celor legate de drepturile omului din Ucraina.

Project Shield este capabil să filtreze traficul potențial malițios, acționând ca un proxy invers care se află între un site web și internetul în general, filtrând cererile de conectare. Dacă o conexiune pare să provină de la un vizitator legitim, Project Shield permite cererea de conexiune. În cazul în care se stabilește că o cerere de conectare este necorespunzătoare, de exemplu, mai multe încercări de conectare de la aceeași adresă IP, atunci aceasta este blocată. Acest sistem face ca Project Shield să fie extrem de ușor de implementat prin simpla modificare a setărilor DNS ale serverului dumneavoastră.

Cei care citesc s-ar putea să se întrebe cum va funcționa filtrarea traficului prin intermediul unui proxy cu SSL. Din fericire, Jigsaw s-a gândit la acest lucru și a pregătit un tutorial cuprinzător pentru a se asigura că conexiunile securizate la site-ul dvs. funcționează fără probleme. Mai multe alte tutoriale sunt, de asemenea, disponibile în secțiunea de asistență.

În prezent, Project Shield este disponibil doar pentru site-urile legate de mass-media, monitorizarea alegerilor și drepturile omului. De asemenea, accentul principal este pus pe site-urile mici cu resurse insuficiente care nu își pot permite soluții de găzduire costisitoare pentru a se proteja împotriva DDoS. Dacă organizația dvs. nu corespunde acestor cerințe, este posibil să trebuiască să luați în considerare o soluție alternativă, cum ar fi Cloudflare.

• Vă puteți înscrie pentru Project Shield aici

Cine a folosit internetul în ultimii ani va fi familiarizat cu Cloudflare, deoarece multe site-uri importante folosesc protecția sa. Deși Cloudflare are sediul în SUA, acesta întreține peste 180 de centre de date în întreaga lume: o infrastructură care rivalizează cu cea a Google. Acest lucru maximizează șansele site-ului dvs. de a rămâne online.

Care utilizator Cloudflare poate alege să activeze modul „Sunt atacat”, care poate proteja chiar și împotriva celor mai sofisticate atacuri DoS prin prezentarea unei provocări Javascript. Ca o chestiune de rutină, Cloudflare acționează, de asemenea, ca un proxy invers care stă între vizitatori și gazda site-ului dvs. pentru a filtra traficul în același mod ca și Project Shield de la Jigsaw. În martie 2019, Cloudflare a introdus Spectrum for UDP, care oferă protecție DDoS și firewalling pentru protocoale nesigure.

Vizitatorii care fac cereri de conectare trebuie să treacă printr-o mănușă de filtre sofisticate, inclusiv reputația site-ului, dacă IP-ul lor a fost pus pe lista neagră și dacă antetul HTTP pare suspect. Cererile HTTP sunt amprentate pentru a se proteja împotriva botnet-urilor cunoscute. În calitate de gigant al industriei, Cloudflare își poate valorifica cu ușurință poziția prin schimbul de informații între cele peste 7 milioane de site-uri web pe care le gestionează.

Cloudflare oferă un pachet de bază gratuit care include atenuarea DDoS nemăsurată. Pentru cei care sunt dispuși să plătească pentru un abonament comercial Cloudflare (prețurile încep de la 200 de dolari sau 149 de lire sterline pe lună), este disponibilă o protecție mai avansată, cum ar fi încărcarea de certificate SSL personalizate.

• Vă puteți înscrie la Cloudflare aici

Protecția AWS Shield este furnizată de către bunii oameni de la Amazon web services. Nivelul „Standard” este disponibil pentru toți clienții AWS fără costuri suplimentare. Acest lucru este ideal, deoarece multe întreprinderi mici aleg să își găzduiască site-urile web la Amazon. AWS Shield Standard este disponibil pentru toți clienții fără costuri suplimentare. Acesta protejează împotriva atacurilor mai tipice de rețea (nivelul 3) și de transport (nivelul 4) atunci când sunt utilizate serviciile Cloud Front și Route 53 de la Amazon.

Acest lucru ar trebui să-i descurajeze pe toți hackerii, cu excepția celor mai hotărâți. Cu toate acestea, lățimea de bandă, de exemplu 15Gbp/s, va fi în continuare limitată de dimensiunea instanței dumneavoastră Amazon, ceea ce face ca hackerii să poată efectua un atac DoS dacă dispun de suficiente resurse. Mai rău decât atât, rămâneți responsabil pentru plata traficului suplimentar către instanța dumneavoastră.

Pentru a atenua acest lucru, Amazon oferă și AWS Shield Advanced. Un abonament include protecție împotriva costurilor DDoS, care vă poate salva de la o creștere uriașă a facturii lunare de utilizare în cazul în care sunteți victima unui atac. AWS Shield Advanced poate, de asemenea, să implementeze ACL-urile (listele de control al accesului) la granița rețelei AWS în sine, oferindu-vă protecție chiar și împotriva celor mai mari atacuri.

Abonarii Advanced beneficiază, de asemenea, de o echipă DRT (DDoS response team) non-stop, precum și de măsurători detaliate privind orice atac asupra instanțelor dvs. Bucuria oferită de AWS Shield Advanced este însă costisitoare. Trebuie să fiți dispus să vă abonați pentru cel puțin un an la un preț de 3.000 de dolari (2.200 de lire sterline) pe lună. Această sumă se adaugă la costurile de utilizare a transferului de date, pe care le puteți acoperi pe baza unui abonament „pay as you go”.

• Vă puteți înscrie la AWS Shield aici

Ca Amazon, Microsoft oferă opțiunea de a închiria spațiu de servicii prin intermediul serviciului lor Azure. Toți membrii beneficiază de protecție DDoS de bază. Caracteristicile includ monitorizarea permanentă a traficului și atenuarea în timp real a atacurilor de rețea (nivel 3) pentru orice adresă IP publică pe care o utilizați. Acesta este exact același tip de protecție oferit propriilor servicii online ale Microsoft, iar toate resursele rețelei Azure pot fi folosite pentru a absorbi atacurile DDoS.

Pentru organizațiile care au nevoie de o protecție mai sofisticată, Azure oferă, de asemenea, un nivel „Standard”. Acesta a fost lăudat pe scară largă pentru că este foarte ușor de activat, necesitând doar câteva clicuri de mouse. În mod esențial, Azure nu vă cere să faceți nicio modificare la aplicațiile dumneavoastră, deși nivelul standard oferă protecție împotriva atacurilor DDoS ale aplicațiilor (nivelul 7) prin intermediul firewall-ului pentru aplicații web al aplicației App Gateway. Azure monitor vă poate arăta măsurători în timp real în cazul în care are loc un atac. Acestea sunt păstrate timp de 30 de zile și pot fi exportate pentru a fi studiate în continuare, dacă doriți.

Azure verifică în mod constant traficul web către resursele dumneavoastră. Dacă acestea depășesc un prag predefinit, se lansează automat măsuri de atenuare DDoS. Aceasta include inspectarea pachetelor pentru a se asigura că nu sunt malformate sau falsificate, precum și utilizarea limitării ratei.

Protecția standard costă în prezent 2.944 de dolari (2.204 lire sterline) pe lună, plus taxele de date pentru până la 100 de resurse. Protecția se aplică în mod egal tuturor resurselor. Cu alte cuvinte, nu puteți personaliza atenuarea DDoS pentru unele individuale.

• Puteți să vă înscrieți pentru Microsoft Azure aici

Update: Serviciile de securitate ale Verisign sunt transferate către Neustar.

Verisign este aproape la fel de vechi ca și Internetul însuși. Din 1995, a crescut de la o simplă autoritate de certificare la un jucător important în industria serviciilor de rețea.

Protecția DDoS de la Verisign funcționează în Cloud. Utilizatorii pot alege să redirecționeze încercările de conectare cu o simplă modificare a setărilor DNS (Domain Name Server). Traficul este trimis către Verisign pentru a fi verificat pentru a preveni atacurile în rețea. Verisign analizează temeinic tot traficul înainte de a-l redirecționa.

Pentru că Verisign operează două dintre cele treisprezece servere de nume de rute globale, nu ar trebui să fie o surpriză faptul că organizația menține, de asemenea, mai multe „centre de curățare” DDoS dedicate. Acestea analizează traficul și filtrează cererile de conectare greșite. Infrastructura combinată funcționează la aproape 2TB/s și poate bloca chiar și cele mai copleșitoare atacuri DDoS.

Acest lucru este realizat în mare parte prin intermediul Athena, platforma de atenuare a amenințărilor a Verisign. Athena este împărțită, în linii mari, în trei elemente. ‘Shield’ filtrează atacurile de rețea (nivelul 3) și de transport (nivelul 4) prin intermediul DPI (Deep Packet Inspection), liste negre & liste albe și gestionarea reputației site-ului. ‘Proxy-ul’ Athena inspectează anteturile HTTP pentru a detecta traficul rău intenționat în timpul încercărilor inițiale de conectare. ‘proxy-ul’ și ‘shield-ul’ sunt susținute de ‘load balancer-ul’ Athena, care ajută la prevenirea atacurilor asupra aplicațiilor (nivelul 7).

Portalul pentru clienți afișează rapoarte detaliate privind traficul și vă permite să vă configurați gestionarea amenințărilor, de exemplu prin crearea de liste negre de conexiuni. Pentru utilizatorii care sunt reticenți în a implementa totul în Cloud, Verisign oferă, de asemenea, OpenHybrid, care poate fi instalat la fața locului.

• Puteți să vă înscrieți pentru Verisign DDoS Protection aici

Credit imagine: Wikimedia Commons (Antoine Lamielle)

.