Лучшая защита от DDoS-атак 2019 года

Лучшая защита от DDoS-атак 2019 года

В октябре 2016 года поставщик услуг DNS Dyn подвергся атаке распределенного отказа в обслуживании (DDoS) целой армией специально взломанных устройств Интернета вещей. Более 14,000 XNUMX доменов, использующих сервисы Dyn, оказались перегруженными и недоступными, в том числе такие громкие имена, как Amazon, HBO и PayPal.

Согласно исследованию Cloudflare, в то время средняя стоимость сбоев инфраструктуры для предприятий составляет 100,000 75,000 долларов (XNUMX XNUMX фунтов стерлингов). Так как же гарантировать, что ваша организация не станет жертвой такого типа атак? В этом руководстве вы узнаете о ведущих поставщиках инфраструктуры, обладающих цифровой мощью для защиты от атак, направленных на превышение пропускной способности вашей сети.

Вы также узнаете, какие поставщики могут предложить защиту от более сложных атак на приложения (уровень 7), которые могут быть выполнены без большого количества взломанных компьютеров (иногда называемых ботнетами).

1. Проект "Щит"

Мощная защита от DDoS-атак Google, но приглашены не все

Воспользуйтесь преимуществами инфраструктуры Google.

Очень простая установка

Доступно только для определенных сайтов

Project Shield - это детище Jigsaw, дочерней компании Google, Alphabet. Разработка началась несколько лет назад при Джордже Конарде в результате атак на сайты по наблюдению за выборами и правозащитные сайты в Украине.

Project Shield может фильтровать потенциальный вредоносный трафик, действуя как обратный прокси-сервер между веб-сайтом и Интернетом в целом, фильтруя запросы на подключение. Если кажется, что соединение исходит от законного посетителя, Project Shield авторизует запрос на соединение. Если запрос на подключение считается неверным, например, несколько попыток подключения с одного и того же IP-адреса, он блокируется. Эта система упрощает реализацию Project Shield путем простого изменения настроек DNS ваших серверов.

Любой, кто умеет читать, может задаться вопросом, как будет работать фильтрация трафика через прокси с SSL. К счастью, Jigsaw подумал об этом и составил подробное руководство, чтобы обеспечить бесперебойную работу безопасных подключений к вашему сайту. В разделе поддержки также доступны различные другие руководства.

В настоящее время Project Shield доступен только для СМИ, сайтов наблюдения за выборами и прав человека. Также делается упор на небольшие и недостаточно финансируемые веб-сайты, которые не могут позволить себе дорогостоящие хостинговые решения для защиты от DDoS-атак. Если ваша организация не соответствует этим требованиям, вам может потребоваться другое решение, например Cloudflare.

2. Cloudflare

Гигант защиты от DDoS-атак.

Лидер отрасли в области DoS-решений.

Уровень бесплатного пользования включает базовую защиту.

Бизнес-пакеты относительно дороги

Любой, кто пользовался Интернетом в последние годы, знаком с Cloudflare, потому что многие крупные веб-сайты используют его защиту. Хотя Cloudflare базируется в США, он управляет 165 центрами обработки данных по всему миру - инфраструктура, сопоставимая с Google. Это увеличивает шансы на то, что ваши сайты останутся в сети.

Каждый пользователь Cloudflare может включить режим «Меня атакуют», который может защитить от самых изощренных атак типа «отказ в обслуживании», представив Javascript-вызов. Cloudflare также обычно действует как обратный прокси-сервер между посетителями и хостом вашего сайта, чтобы фильтровать трафик так же, как Jigsaw Project Shield. В марте 2019 года был представлен Spectrum for UDP, обеспечивающий защиту от DDoS-атак и межсетевой экран для ненадежных протоколов.

Посетители, отправляющие запросы на соединение, должны использовать сложные фильтры, включая репутацию сайта, если их IP-адрес находится в черном списке и если заголовок HTTP выглядит подозрительно. HTTP-запросы - это отпечатки пальцев для защиты от известных зомби-сетей. Как отраслевой гигант Cloudflare может легко усилить свое положение, обмениваясь информацией на более чем 7 миллионах веб-сайтов.

Cloudflare предлагает бесплатный базовый пакет, который включает ограничение DDoS-атак без измерения. Для тех, кто готов платить за бизнес-членство в Cloudflare (цены начинаются от 200 долларов США или 149 фунтов стерлингов в месяц), доступна более продвинутая защита, такая как загрузка пользовательских сертификатов SSL.

3. AWS Shield

Превосходное базовое противодействие DDoS-атакам с дополнительными возможностями

Уровень «Стандартный бесплатный» защищает от наиболее распространенных атак.

Легкая установка

Продвинутый уровень стоит очень дорого

AWS Shield Protection предоставляется компетентными лицами в веб-сервисах Amazon. Уровень «Стандартный» доступен всем клиентам AWS без дополнительных затрат. Это идеально, потому что многие малые предприятия предпочитают размещать свои веб-сайты на Amazon. AWS Shield Standard доступен всем клиентам без дополнительных затрат. Защищает от более типичных сетевых (уровень 3) и транспортных (уровень 4) атак при использовании сервисов Amazon Cloud Front и Route 53.

Это должно отпугнуть всех, кроме самых решительных пиратов. Однако ваша пропускная способность, например 15 Гбит / с, по-прежнему будет ограничена размером вашего инстанса Amazon, что позволит хакерам выполнить DoS-подобную атаку, если у них достаточно ресурсов. Что еще хуже, вы по-прежнему несете ответственность за оплату дополнительного трафика для своего экземпляра.

Чтобы смягчить это, Amazon также предлагает AWS Shield Advanced. Подписка включает в себя защиту от DDoS-атак, которая может спасти вас от резкого увеличения ежемесячного счета, если вы стали жертвой атаки. AWS Shield Advanced также может развертывать ваши списки управления доступом (ACL) на границе сети AWS, защищая вас от наиболее важных атак.

Опытные подписчики также получают выгоду от круглосуточного DRT (DDoS Response Team), а также от подробных измерений всех атак на их экземпляры. Однако дух, предлагаемый AWS Shield Advanced, стоит дорого. Вы должны быть готовы подписаться минимум на один год по цене 24 долларов (3,000 фунтов стерлингов) в месяц. Это в дополнение к расходам на использование передачи данных, которые вы можете покрыть «платите по мере использования».

4. Майкрософт Азур

Отличная базовая защита с доступным уровнем оплаты.

Стандартная защита чрезвычайно проста в настройке

Автоматическое устранение угроз

Защитное покрытие DDoS для всех ресурсов.

Как и Amazon, Microsoft предлагает возможность арендовать служебные помещения через свою службу Azure. Все участники получают базовую защиту от DDoS-атак. Функции всегда включают мониторинг трафика и предотвращение сетевых атак в реальном времени (уровень 3) для всех используемых вами общедоступных IP-адресов. Это тот же тип защиты, что и у онлайн-сервисов Microsoft, и все сетевые ресурсы Azure могут использоваться для отражения DDoS-атак.

Для компаний, которым требуется более сложная защита, Azure также предлагает уровень «Стандартный». Его широко хвалили за то, что его очень легко активировать, требуя всего нескольких щелчков мыши. Что наиболее важно, Azure не требует изменения ваших приложений, хотя стандартный уровень обеспечивает защиту от DDoS-атак со стороны приложений (уровень 7) через брандмауэр веб-приложений шлюза приложений. Azure Monitor может отображать статистику в реальном времени в случае атаки. Они хранятся 30 дней и при желании могут быть экспортированы для дальнейшего изучения.

Azure постоянно проверяет веб-трафик на ваших ресурсах. Если они превышают заранее установленный порог, автоматически запускается защита от DDoS-атак. Это включает проверку упаковок, чтобы убедиться, что они не поддельные или поддельные, а также использование ограничения потока.

Стандартная защита в настоящее время стоит 2,944 доллара США (2,204 фунта стерлингов) в месяц плюс плата за передачу данных до 100 ресурсов. Защита также распространяется на все ресурсы. Другими словами, вы не можете настроить меры по смягчению DDoS-атак.

5. Verisign DDoS Protection.

Лучшая защита от DDoS-атак со стороны ветеранов безопасности.

Легко установить через DNS

Центры прачечной, посвященные защите от атак.

Может быть развернут на месте

Интерфейс требует времени, чтобы освоить

Обновление: службы безопасности Verisign переносятся на Neustarно особенности и характеристики, упомянутые в этом обзоре, остались относительно прежними.

Verisign почти так же стара, как и сам Интернет. С 1995 года он превратился из единого центра сертификации в крупного игрока в индустрии сетевых услуг.

Защита Verisign от DDoS-атак работает в облаке. Пользователи могут выбрать перенаправление попыток входа в систему, просто изменив настройки сервера доменных имен (DNS). Трафик отправляется в Verisign для проверки, чтобы предотвратить сетевые атаки. Verisign тщательно анализирует весь трафик перед его перенаправлением.

Учитывая, что Verisign управляет двумя из 13 серверов имен глобальных путей, неудивительно, что эта организация также имеет несколько специализированных «чистых центров» DDoS. Они анализируют трафик и отфильтровывают плохие запросы соединения. Комбинированная инфраструктура достигает почти 2 ТБ / с и может блокировать самые разрушительные DDoS-атаки.

В значительной степени это достигается с помощью Athena, платформы Verisign по снижению угроз. Афина в основном делится на три элемента. «Щит» фильтрует сетевые (уровень 3) и транспортные (уровень 4) атаки с помощью DPI (глубокая проверка пакетов), черных и белых списков, а также управления репутацией сайта. Прокси-сервер Athena проверяет заголовки HTTP на наличие плохого трафика во время первоначальных попыток входа в систему. «Прокси-сервер» и «щит» совместимы с «балансировщиком нагрузки» Athena, который помогает предотвратить атаки приложений (уровень 7).

Клиентский портал отображает подробные отчеты о трафике и позволяет настраивать управление угрозами, например, путем создания черных списков подключений. Verisign также предлагает OpenHybrid для пользователей, которые не хотят развертывать все в облаке и могут быть установлены на месте.

Кредит изображения: Wikimedia Commons (Антуан Ламиэль)