Bästa DDoS-skydd 2021

I oktober 2016 drabbades DNS-leverantören Dyn av en stor DDoS-attack (Distributed Denial of Service) av en armé av IoT-enheter som hade hackats speciellt för ändamålet. Över 14 000 domäner som använder Dyns tjänster överväldigades och blev oåtkomliga, däribland stora namn som Amazon, HBO och PayPal.

Enligt forskning från Cloudflare är den genomsnittliga kostnaden för infrastrukturfel för företag 100 000 dollar (75 000 pund) per timme. Hur kan du då se till att din organisation inte faller offer för den här typen av attacker. I den här guiden får du reda på vilka stora infrastrukturleverantörer som har de nödvändiga digitala musklerna för att skydda sig mot attacker som är utformade för att översvämma din nätverkskapacitet.

Du kommer också att upptäcka vilka leverantörer som kan erbjuda skydd mot mer sofistikerade applikationsattacker (lager 7), som kan utföras utan ett stort antal hackade datorer (ibland kallat botnet).

• Vi har också lyft fram de bästa webbhotellstjänsterna.

Project Shield är en skapelse av Jigsaw, en utbrytning av Googles moderbolag Alphabet. Utvecklingen inleddes för flera år sedan under George Conard i kölvattnet av attacker mot webbplatser med anknytning till valövervakning och mänskliga rättigheter i Ukraina.

Project Shield kan filtrera potentiellt skadlig trafik genom att fungera som en omvänd proxy som sitter mellan en webbplats och internet i stort och filtrerar anslutningsförfrågningar. Om en anslutning verkar komma från en legitim besökare tillåter Project Shield anslutningsförfrågan. Om det visar sig att en anslutningsbegäran är dålig, t.ex. flera anslutningsförsök från samma IP-adress, blockeras den. Detta system gör Project Shield extremt enkelt att genomföra genom att helt enkelt ändra serverns DNS-inställningar.

Alla avancerade användare som läser undrar kanske hur filtrering av trafik via en proxy kommer att fungera med SSL. Lyckligtvis har Jigsaw tänkt på detta och har sammanställt en omfattande handledning för att se till att säkra anslutningar till din webbplats fungerar sömlöst. Flera andra handledningar finns också tillgängliga i supportsektionen.

För närvarande är Project Shield endast tillgängligt för webbplatser med anknytning till media, valövervakning och mänskliga rättigheter. Det primära fokuset ligger också på små webbplatser som saknar resurser och som inte har råd med dyra webbhotellslösningar för att skydda sig mot DDoS-attacker. Om din organisation inte uppfyller dessa krav kan du behöva överväga en alternativ lösning som Cloudflare.

• Du kan anmäla dig till Project Shield här

Alla som har använt Internet under de senaste åren känner till Cloudflare eftersom många stora webbplatser använder sig av deras skydd. Även om Cloudflare är baserat i USA har det över 180 datacenter runt om i världen: en infrastruktur som kan konkurrera med Googles. Detta maximerar din webbplats chanser att förbli online.

Alla Cloudflare-användare kan välja att aktivera läget ”Jag är under attack” som kan skydda mot även de mest sofistikerade DoS-attackerna genom att presentera en Javascript-utmaning. Cloudflare fungerar också rutinmässigt som en omvänd proxy som sitter mellan besökare och din webbplatsvärd för att filtrera trafiken på samma sätt som Jigsaws Project Shield. I mars 2019 introducerade Cloudflare Spectrum för UDP, vilket ger DDoS-skydd och brandväggar för opålitliga protokoll.

Besökare som gör anslutningsförfrågningar måste köra en gauntlet av sofistikerade filter, inklusive webbplatsens rykte, om deras IP har svartlistats och om HTTP-huvudet verkar misstänkt. HTTP-förfrågningar fingeravtrycks för att skydda mot kända botnät. Som branschjätte kan Cloudflare lätt utnyttja sin ställning genom att dela med sig av information om de mer än 7 miljoner webbplatser som företaget hanterar.

Cloudflare erbjuder ett kostnadsfritt grundpaket som inkluderar DDoS-skydd utan mätning. För dem som är villiga att betala för en Cloudflare-prenumeration för företag (priserna börjar på 200 dollar eller 149 pund i månaden) finns mer avancerat skydd, t.ex. uppladdning av anpassade SSL-certifikat.

• Du kan registrera dig för Cloudflare här

AWS Shield-skydd tillhandahålls av de goda människorna på Amazon web services. Den ”vanliga” nivån är tillgänglig för alla AWS-kunder utan extra kostnad. Detta är idealiskt eftersom många småföretag väljer att lägga upp sina webbplatser hos Amazon. AWS Shield Standard är tillgängligt för alla kunder utan extra kostnad. Den skyddar mot mer typiska nätverks- (lager 3) och transportattacker (lager 4) när Amazons tjänster Cloud Front och Route 53 används.

Detta borde avskräcka alla utom de mest beslutsamma hackarna. Din bandbredd, t.ex. 15 Gbp/s, kommer dock fortfarande att begränsas av storleken på din Amazon-instans, vilket gör det möjligt för hackare att utföra en DoS-attack om de har tillräckliga resurser. Ännu värre är att du fortfarande är ansvarig för att betala för den extra trafiken till din instans.

För att mildra detta erbjuder Amazon också AWS Shield Advanced. Ett abonnemang inkluderar DDoS-kostnadsskydd, vilket kan rädda dig från en enorm spik i din månatliga användningsfaktura om du blir offer för en attack. AWS Shield Advanced kan också distribuera dina ACL:er (Access Control Lists) till gränsen av själva AWS-nätverket, vilket ger dig skydd mot även de största attackerna.

Advanced-prenumeranter drar också nytta av ett DRT-team (DDoS Response Team) dygnet runt samt detaljerade mätvärden för alla attacker mot dina instanser. Den trygghet som AWS Shield Advanced erbjuder är dock dyr. Du måste vara villig att prenumerera i minst ett år till ett pris av 3 000 dollar (2 200 pund) i månaden. Detta är utöver kostnaderna för dataöverföringsanvändning som du kan täcka på en ”pay as you go”-basis.

• Du kan registrera dig för AWS Shield här

Likt Amazon, Microsoft erbjuder möjligheten att hyra tjänsteutrymme via sin tjänst Azure. Alla medlemmar drar nytta av grundläggande DDoS-skydd. Funktionerna omfattar alltid pågående trafikövervakning och begränsning i realtid av nätverksattacker (lager 3) för alla offentliga IP-adresser som du använder. Detta är samma typ av skydd som Microsofts egna onlinetjänster och alla resurser i Azures nätverk kan användas för att absorbera DDoS-attacker.

För organisationer som behöver ett mer sofistikerat skydd erbjuder Azure också en standardnivå. Denna har fått mycket beröm för att den är mycket enkel att aktivera och kräver bara några få klick med musen. Azure kräver framför allt inte att du gör några ändringar i dina appar, även om standardnivån erbjuder skydd mot DDoS-attacker på applikationsnivå (lager 7) via app-gateway-webbapplikationsbrandväggen. Azure Monitor kan visa dig mätvärden i realtid om en attack äger rum. Dessa sparas i 30 dagar och kan exporteras för vidare studier om du vill.

Azure kontrollerar ständigt webbtrafiken till dina resurser. Om dessa överskrider ett fördefinierat tröskelvärde startas DDoS-skydd automatiskt. Detta inkluderar inspektion av paket för att se till att de inte är missbildade eller förfalskade samt användning av hastighetsbegränsning.

Standardskydd kostar för närvarande 2 944 dollar (2 204 pund) per månad plus dataavgifter för upp till 100 resurser. Skyddet gäller lika för alla resurser. Med andra ord kan du inte skräddarsy DDoS-skydd för enskilda resurser.

• Du kan registrera dig för Microsoft Azure här

Uppdatering: Verisigns säkerhetstjänster överförs till Neustar.

Verisign är nästan lika gammalt som själva Internet. Sedan 1995 har det vuxit från en enkel certifikatutfärdare till en stor aktör inom branschen för nätverkstjänster.

Verisigns DDoS-skydd fungerar i molnet. Användare kan välja att omdirigera anslutningsförsök med en enkel ändring av sina DNS-inställningar (Domain Name Server). Trafiken skickas till Verisign för kontroll för att förhindra nätverksattacker. Verisign analyserar all trafik noggrant innan den omdirigeras.

Då Verisign driver två av de tretton globala namnservrarna för ruttnamn bör det inte komma som någon överraskning att organisationen också upprätthåller flera dedikerade DDoS ”scrubbing centers”. Dessa analyserar trafiken och filtrerar bort dåliga anslutningsförfrågningar. Den kombinerade infrastrukturen går upp till nästan 2 TB/s och kan blockera även de mest överväldigande DDoS-attackerna.

Detta uppnås till stor del via Athena, Verisigns plattform för hotbegränsning. Athena är i stort sett uppdelad i tre delar. ”Skölden” filtrerar nätverks- (lager 3) och transportattacker (lager 4) via DPI (Deep Packet Inspection), svartlistor & vitlistor och hantering av webbplatsens rykte. Athena ”proxy” inspekterar HTTP-huvuden för att hitta dålig trafik under de första anslutningsförsöken. ”Proxyn” och ”skölden” stöds av Athenas ”load balancer” som hjälper till att förhindra applikationsattacker (lager 7).

Kundportalen visar detaljerade rapporter om trafiken och gör det möjligt för dig att konfigurera din hothantering, till exempel genom att skapa svarta listor för anslutningar. För användare som tvekar att distribuera allt till molnet erbjuder Verisign också OpenHybrid som kan installeras på plats.

• Du kan registrera dig för Verisign DDoS Protection här

Bildkredit: Wikimedia Commons (Antoine Lamielle)