I oktober 2016 drabbades DNS-tjänsteleverantören Dyn av en DDoS-attack (Distributed Denial of Service) av en armé av speciellt hackade IoT-enheter. Mer än 14,000 XNUMX domäner som använder Dyns tjänster har blivit överväldigade och blivit otillgängliga, inklusive stora namn som Amazon, HBO och PayPal.
Enligt en studie av Cloudflare är den genomsnittliga kostnaden för infrastrukturfel för företag $100,000 75,000 (£XNUMX XNUMX) vid den tiden. Så hur kan du säkerställa att din organisation inte faller offer för denna typ av attack? I den här guiden får du lära dig om de ledande infrastrukturleverantörerna med den digitala kraften för att skydda mot attacker utformade för att överväldiga din nätverkskapacitet.
Du får också reda på vilka leverantörer som kan erbjuda skydd mot mer sofistikerade (lager 7) applikationsattacker, vilket kan göras utan ett stort antal hackade datorer (kallas ibland ett botnät).
1. Project Shield
Kraftfullt skydd mot Google DDoS-attacker, men alla är inte inbjudna
Dra nytta av Googles infrastruktur.
Mycket enkel konfiguration
Endast tillgängligt för vissa webbplatser
Project Shield är idén från Jigsaw, ett dotterbolag till Google, Alphabet. Utvecklingen började för flera år sedan under George Conard, som ett resultat av attacker mot valövervakning och människorättswebbplatser i Ukraina.
Project Shield kan filtrera potentiell skadlig trafik genom att fungera som en omvänd proxy mellan en webbplats och det bredare Internet och filtrera anslutningsförfrågningar. Om en anslutning verkar komma från en legitim besökare, godkänner Project Shield anslutningsbegäran. Om en anslutningsbegäran anses vara dålig, till exempel flera anslutningsförsök från samma IP-adress, blockeras den. Detta system gör Project Shield extremt enkelt att implementera genom att helt enkelt ändra dina servrars DNS-inställningar.
Den som kan läsa kan undra hur filtrering av trafik genom en proxy med SSL kommer att fungera. Lyckligtvis har Jigsaw tänkt på detta och satt ihop en omfattande handledning för att säkerställa att säkra anslutningar till din webbplats fungerar smidigt. Olika andra handledningar finns också tillgängliga i supportsektionen.
För närvarande är Project Shield endast tillgängligt för media, valövervakning och webbplatser för mänskliga rättigheter. Det finns också en betoning på små och underfinansierade webbplatser som inte har råd med dyra värdlösningar för att skydda sig mot DDoS-attacker. Om din organisation inte uppfyller dessa krav kan du behöva överväga en annan lösning, som Cloudflare.
2. CloudFlare
Mastodonten av DDoS-skydd.
Branschledare inom DoS-lösningar.
Gratisnivån inkluderar grundläggande skydd.
Företagspaket är relativt dyra
Alla som har använt internet de senaste åren kommer att känna till Cloudflare eftersom många av de största webbplatserna använder dess skydd. Även om Cloudflare är baserat i USA, hanterar det 165 datacenter runt om i världen – en infrastruktur jämförbar med Google. Detta maximerar chanserna att dina sajter stannar online.
Varje Cloudflare-användare kan välja att aktivera "Jag blir attackerad"-läge, vilket kan skydda mot de mest sofistikerade överbelastningsattackerna genom att presentera en Javascript-utmaning. Cloudflare fungerar också vanligtvis som en omvänd proxy mellan besökare och din webbplatsvärd för att filtrera trafik på samma sätt som Jigsaw Project Shield. I mars 2019 introducerades Spectrum for UDP, vilket ger skydd mot DDoS-attacker och en brandvägg för opålitliga protokoll.
Besökare som gör anslutningsförfrågningar måste köra en sofistikerad handske av filter, inklusive webbplatsens rykte, om dess IP är svartlistad och om HTTP-huvudet ser misstänkt ut. HTTP-förfrågningar tas med fingeravtryck för att skydda mot kända zombienätverk. Som en branschjätte kan Cloudflare enkelt utnyttja sin position genom att dela information på över 7 miljoner webbplatser.
Cloudflare erbjuder ett gratis grundpaket som inkluderar obegränsad DDoS-attackstrypning. För de som är villiga att betala för ett Cloudflare-företagsmedlemskap (priserna börjar på $200 eller £149 per månad), finns mer avancerat skydd tillgängligt, som att ladda ner anpassade SSL-certifikat.
3. AWS-sköld
Utmärkt grundläggande DDoS-attackreducering med mer
Den vanliga gratisnivån skyddar mot de vanligaste attackerna.
Enkel installation
Den avancerade nivån är mycket dyr
AWS Shield Protection tillhandahålls av de behöriga på Amazon Web Services. "Standard"-nivån är tillgänglig utan extra kostnad för alla AWS-kunder. Detta är idealiskt eftersom många småföretag väljer att vara värd för sina webbplatser med Amazon. AWS Shield Standard är tillgänglig för alla kunder utan extra kostnad. Skyddar mot mer typiska nätverk (Layer 3) och transport (Layer 4) attacker när du använder Amazons Cloud Front och Route 53 tjänster.
Detta borde avskräcka alla utom de mest beslutsamma piraterna. Din bandbredd, till exempel 15 Gbps, kommer dock fortfarande att begränsas av storleken på din Amazon-instans, vilket gör att hackare kan utföra en attack av DoS-typ om de har tillräckligt med resurser. Ännu värre är du fortfarande ansvarig för att betala för ytterligare trafik till din instans.
För att mildra detta erbjuder Amazon även AWS Shield Advanced. Ett abonnemang inkluderar kostnadsskydd mot DDoS-attacker, vilket kan rädda dig från en kraftig ökning av din månadsräkning om du utsätts för en attack. AWS Shield Advanced kan också distribuera dina åtkomstkontrollistor (ACL) i utkanten av AWS-nätverket, vilket ger dig skydd mot de viktigaste attackerna.
Avancerade prenumeranter drar också nytta av ett 24-timmars DRT (DDoS Response Team) samt detaljerade mätningar av alla attacker på deras instanser. Anden som erbjuds av AWS Shield Advanced är dock dyr. Du måste vara redo att prenumerera i minst ett år till ett pris av $3,000 2,200 (£XNUMX XNUMX) per månad. Detta ökar kostnaderna för att använda dataöverföring som du kan täcka genom att "betala när du går".
4.Microsoft Azure
Utmärkt grundskydd med prisvärd och betald nivå.
Standardskydd är extremt enkelt att sätta upp
Automatiserad hotreducering
DDoS-skyddstäckning för alla resurser.
Precis som Amazon erbjuder Microsoft möjligheten att hyra serviceytor genom sin Azure-tjänst. Alla medlemmar drar nytta av grundläggande skydd mot DDoS-attacker. Funktioner inkluderar alltid trafikövervakning och begränsning av nätverksattacker i realtid (Layer 3) för alla offentliga IP-adresser du använder. Detta är samma typ av skydd som Microsofts onlinetjänster och alla Azure-nätverksresurser kan användas för att absorbera DDoS-attacker.
För företag som behöver mer sofistikerat skydd erbjuder Azure också en "Standard"-nivå. Detta har fått mycket beröm för att det är väldigt enkelt att aktivera och kräver bara några få musklick. Viktigast av allt, Azure kräver inte att du ändrar dina applikationer, även om standardnivån ger skydd mot DDoS-attacker från applikationer (Layer 7) genom applikationsgatewayens webbapplikationsbrandvägg. Azure Monitor kan visa dig realtidsstatistik om en attack inträffar. Dessa sparas i 30 dagar och kan exporteras för vidare studier om du så önskar.
Azure kontrollerar ständigt webbtrafik på sina resurser. Om dessa överskrider en fördefinierad tröskel, startar DDoS-reducering automatiskt. Detta inkluderar att inspektera paket för att säkerställa att de inte är feltränade eller förfalskade, samt användning av flödesbegränsning.
Standardskyddet är för närvarande 2,944 2,204 USD (100 XNUMX GBP) per månad, plus dataavgifter för upp till XNUMX resurser. Skyddet gäller även alla resurser. Med andra ord kan du inte anpassa begränsningsåtgärder för DDoS-attacker.
5. Verisign DDoS-skydd
Det bästa skyddet mot DDoS-attacker från säkerhetsveteraner.
Enkel att installera via DNS
Biltvättanläggningar dedikerade till skydd mot attacker.
Kan användas på plats
Gränssnittet tar tid att bemästra
Uppdatering: Verisigns säkerhetstjänster flyttar till Neustarmen funktionerna och funktionerna som nämns i denna recension har förblivit relativt desamma.
Verisign är nästan lika gammal som själva Internet. Sedan 1995 har det vuxit från en enda certifieringsmyndighet till en stor aktör inom nätverkstjänstebranschen.
Verisign DDoS-skydd fungerar i molnet. Användare kan välja att omdirigera inloggningsförsök genom att helt enkelt ändra inställningarna för domännamnsserver (DNS). Trafik skickas till Verisign för verifiering för att förhindra nätverksattacker. Verisign analyserar noggrant all trafik innan den omdirigeras.
Med tanke på att Verisign driver två av de 13 globala ruttnamnservrarna är det inte förvånande att organisationen också driver flera dedikerade DDoS "cleanup centers". Dessa analyserar trafik och filtrerar bort felaktiga anslutningsförfrågningar. Den kombinerade infrastrukturen når nästan 2TB/s och kan blockera de mest skadliga DDoS-attackerna.
Detta uppnås till stor del genom Athena, Verisigns plattform för begränsning av hot. Athena är till stor del uppdelad i tre element. "Shield" filtrerar nätverk (lager 3) och transport (lager 4) attacker genom DPI (deep packet inspection), svartlistning och vitlistning och hantering av webbplatsens rykte. Athena "proxy" inspekterar HTTP-rubriker för dålig trafik under första inloggningsförsök. "Proxy" och "Shield" stöds av Athenas "load balancer", som hjälper till att förhindra applikationsattacker (lager 7).
Kundportalen visar detaljerade trafikrapporter och låter dig konfigurera din hothantering, till exempel genom att skapa anslutningssvarta listor. Verisign erbjuder också OpenHybrid till användare som är ovilliga att distribuera allt i molnet och som kan installeras på plats.
Bildkredit: Wikimedia Commons (Antoine Lamielle)