В октябре 2016 года DNS-провайдер Dyn подвергся крупной распределенной атаке типа «отказ в обслуживании» (DDoS) со стороны целой армии устройств IoT, которые были взломаны специально для этой цели. Более 14,000 100,000 доменов, использующих услуги Dyn, стали перегруженными и недоступными, включая такие громкие имена, как Amazon, HBO и PayPal. Согласно исследованию Cloudflare, средняя стоимость сбоя инфраструктуры для бизнеса составляет 75,000 7 долларов США (XNUMX XNUMX долларов США) в час. Как вы можете гарантировать, что ваша организация не станет жертвой такого типа атак? В этом руководстве вы узнаете о ведущих поставщиках инфраструктуры, обладающих цифровыми возможностями для защиты от атак, направленных на переполнение пропускной способности вашей сети. Вы также узнаете, какие провайдеры могут предложить защиту от более сложных (уровень XNUMX) атак приложений, которые можно осуществить без большого количества взломанных компьютеров (иногда называемых ботнетами).
![Escudo del proyecto]()
Щит проекта
1. Щит проекта
Мощная защита от DDoS от Google, но не для всех гостей Воспользуйтесь преимуществами инфраструктуры Google Очень простая настройка Доступно только для определенных веб-сайтов Project Shield является детищем Jigsaw, дочерней компании Alphabet, материнской компании Google. Разработка началась несколько лет назад при Джордже Конарде после атак на сайты наблюдения за выборами и связанные с ними правозащитные сайты в Украине. Project Shield способен фильтровать потенциальный вредоносный трафик, выступая в качестве обратного прокси-сервера, который находится между веб-сайтом и Интернетом в целом, фильтруя запросы на подключение. Если соединение исходит от законного посетителя, Project Shield разрешает запрос на соединение. Если запрос на подключение признан неудачным, например, несколько попыток подключения с одного и того же IP-адреса, он блокируется. Эта система упрощает внедрение Project Shield, просто изменяя настройки DNS ваших серверов. Любой опытный пользователь, читающий это, может задаться вопросом, как будет работать фильтрация трафика через прокси с SSL. К счастью, Jigsaw подумал об этом и составил подробное руководство, чтобы убедиться, что безопасное подключение к вашему сайту работает как шарм. Различные другие учебные пособия также доступны в разделе поддержки. В настоящее время Project Shield доступен только для специализированных СМИ, веб-сайтов, посвященных наблюдению за выборами и правам человека. Также особое внимание уделяется небольшим веб-сайтам с недостаточным финансированием, которые не могут позволить себе дорогостоящие хостинговые решения для защиты от DDoS-атак. Если ваша организация не соответствует этим требованиям, вам может потребоваться рассмотреть альтернативное решение, такое как Cloudflare.
![Flama de nube]()
Облако пламени
2. Облачное пламя
Тяжеловесная защита от DDoS-атак Лидер отрасли в решениях для DoS-атак Уровень бесплатного доступа включает базовую защиту. Коммерческие пакеты относительно дороги. Любой, кто пользовался Интернетом в течение последних нескольких лет, знаком с Cloudflare, так как многие крупные веб-сайты используют его защиту. Хотя штаб-квартира Cloudflare находится в США, она управляет более чем 180 центрами обработки данных по всему миру — инфраструктура, которая конкурирует с инфраструктурой Google. Это максимизирует шансы на то, что ваши сайты останутся в сети. Каждый пользователь Cloudflare может активировать режим «Я под атакой», который может защитить от самых изощренных DoS-атак, представив вызов JavaScript. Cloudflare также обычно выступает в качестве обратного прокси-сервера между посетителями и хостом вашего сайта для фильтрации трафика так же, как Project Shield Jigsaw. В марте 2019 года Cloudflare выпустила Spectrum для UDP, который обеспечивает защиту от DDoS и брандмауэр для ненадежных протоколов. Посетители, отправляющие запросы на подключение, должны пройти через сложные фильтры, включая репутацию сайта, если их IP-адрес был занесен в черный список, а заголовок HTTP выглядит подозрительно. HTTP-запросы сканируются для защиты от известных бот-сетей. Будучи отраслевым гигантом, Cloudflare может легко использовать свое положение, обмениваясь информацией с более чем 7 миллионами веб-сайтов, которыми он управляет. Cloudflare предлагает бесплатный базовый план, который включает неограниченную защиту от DDoS-атак. Для тех, кто готов раскошелиться на коммерческую подписку Cloudflare (цены начинаются от 200 или 149 евро в месяц), доступна более продвинутая защита, например, загрузка пользовательских SSL-сертификатов.
![AWS Shield]()
щит AWS
3. AWS Shield
Превосходный эталонный уровень защиты от DDoS-атак с дополнительными возможностями. Стандартный бесплатный уровень защищает от наиболее распространенных атак. Простая установка. Расширенный уровень очень дорог. Защиту AWS Shield обеспечивают специалисты Amazon Web Services. Уровень «Стандартный» доступен всем клиентам AWS без дополнительной платы. Это идеально, потому что многие малые предприятия предпочитают размещать свои веб-сайты на Amazon. AWS Shield Standard доступен для всех клиентов без дополнительной платы. Защищает от более традиционных сетевых (уровень 3) и транспортных (уровень 4) атак при использовании с сервисами Amazon Cloud Front и Route 53. Это должно отпугнуть всех, кроме самых решительных хакеров. Однако ваша пропускная способность, скажем, 15 Гбит/с, всегда будет ограничена размером вашего экземпляра Amazon, что позволит хакерам провести DoS-атаку, если у них будет достаточно ресурсов. Что еще хуже, вы по-прежнему несете ответственность за оплату любого дополнительного трафика к вашему инстансу. Чтобы решить эту проблему, Amazon также предлагает AWS Shield Advanced. Подписка включает в себя защиту от DDoS-атак, что может сэкономить вам значительное увеличение ежемесячного счета за использование, если вы стали жертвой атаки. AWS Shield Advanced также может развернуть ваши ACL (списки контроля доступа) на границе сети AWS, обеспечивая защиту от самых масштабных атак. Продвинутые подписчики также получают доступ к круглосуточному DRT (DDoS Response Team), а также к подробным метрикам об атаках на их инстансы. Однако за спокойствие, которое предлагает AWS Shield Advanced, приходится платить. Вы должны быть готовы подписаться как минимум на один год по цене 24 евро (3,000 евро) в месяц. Это в дополнение к расходам на использование передачи данных, которые вы можете покрыть на условиях «оплата по мере использования».
![Microsoft Azure]()
Microsoft Azure
4. Майкрософт Азур
Великолепная базовая защита по доступной цене премиум-класса. Стандартную защиту очень легко настроить. Автоматическое снижение угроз. Глобальная защита от атак DDoS для всех ресурсов. Как и Amazon, Microsoft предлагает возможность арендовать служебное пространство через свою службу Azure. Все участники имеют базовую защиту от DDoS. Функции включают круглосуточный мониторинг трафика и защиту от сетевых атак в режиме реального времени (уровень 3) для всех используемых вами общедоступных IP-адресов. Это тот же тип защиты, который предлагается собственным онлайн-сервисам Microsoft, и все ресурсы в сети Azure могут использоваться для защиты от DDoS-атак. Для организаций, которым требуется более сложная защита, Azure также предлагает уровень «Стандартный». Его широко хвалят за то, что его очень легко активировать, требуя всего несколько щелчков мыши. Важно отметить, что Azure не требует внесения каких-либо изменений в ваши приложения, хотя стандартный уровень обеспечивает защиту от DDoS-атак приложений (уровень 7) через брандмауэр веб-приложений Шлюза приложений. Azure Monitor может отображать метрики в реальном времени в случае атаки. Они хранятся в течение 30 дней и при желании могут быть экспортированы для дальнейшего изучения. Azure постоянно проверяет веб-трафик на ваши ресурсы. Если они превышают предопределенный порог, защита от DDoS-атак запускается автоматически. Это включает в себя проверку пакетов, чтобы убедиться, что они не искажены или не подделаны, а также использование ограничения скорости. Стандартная защита в настоящее время стоит 2,944 евро (2,204 евро) в месяц плюс плата за передачу данных для 100 ресурсов. Защита также распространяется на все ресурсы. Другими словами, вы не можете адаптировать защиту от DDoS-атак к отдельным мерам.
![Protección DDoS de Verisign]()
Verisign DDoS Protection
5. Verisign / Neustar DDoS Protection.
Лучшая защита от DDoS-атак против ветеранов безопасности. Простота настройки через DNS. Выделенные центры очистки для защиты от атак. Развертывание интерфейса на месте требует времени для изучения. такой же. Verisign почти так же стар, как и сам Интернет. С 1995 года он превратился из простого центра сертификации в крупного игрока в индустрии сетевых услуг. Защита Verisign от DDoS работает в облаке. Пользователи могут выбрать перенаправление попыток подключения, просто изменив настройки своего сервера доменных имен (DNS). Трафик отправляется в Verisign для проверки во избежание сетевых атак. Verisign тщательно анализирует весь трафик перед перенаправлением. Поскольку Verisign управляет двумя из тринадцати серверов имен маршрутов в мире, неудивительно, что организация также управляет несколькими специализированными «центрами очистки» от DDoS-атак. Они анализируют трафик и фильтруют плохие запросы на подключение. Объединенная инфраструктура работает со скоростью почти 2 ТБ/с и может блокировать даже самые разрушительные DDoS-атаки. В основном это достигается с помощью Athena, платформы Verisign для снижения угроз. Афина в целом делится на три элемента. «Щит» фильтрует сетевые (уровень 3) и транспортные (уровень 4) атаки с помощью DPI (глубокая проверка пакетов), внесения в черный и белый списки, а также управления репутацией сайта. «Прокси-сервер» Athena проверяет заголовки HTTP на наличие плохого трафика во время первоначальных попыток подключения. И «прокси», и «щит» поддерживают «балансировщик нагрузки» Athena, который помогает предотвратить атаки приложений (уровень 7). Клиентский портал отображает подробные отчеты о трафике и позволяет настроить управление угрозами, например, путем создания черных списков подключений. Для пользователей, которые не хотят внедрять все в облако, Verisign также предлагает OpenHybrid, который можно установить локально. Изображение предоставлено: Wikimedia Commons (Антуан Ламиэль) Обзор лучших предложений дня