I oktober 2016 drabbades DNS-leverantören Dyn av en stor DDoS-attack (Distributed Denial of Service) av en armé av IoT-enheter som hade hackats specifikt för detta ändamål. Mer än 14,000 100,000 domäner som använder Dyns tjänster har blivit överbelastade och otillgängliga, inklusive stora namn som Amazon, HBO och PayPal. Enligt en Cloudflare-studie är den genomsnittliga kostnaden för ett infrastrukturfel för företag 75,000 7 € (XNUMX XNUMX €) per timme. Hur kan du säkerställa att din organisation inte faller offer för den här typen av attacker? I den här guiden kommer du att lära dig om de ledande infrastrukturleverantörerna som har den digitala kraften att skydda mot attacker som är utformade för att översvämma din nätverkskapacitet. Du kommer också att lära dig vilka leverantörer som kan erbjuda skydd mot mer sofistikerade (Layer XNUMX) applikationsattacker, vilket kan göras utan ett stort antal hackade datorer (kallas ibland ett botnät).
![Escudo del proyecto]()
Projekt sköld
1. Projektera sköld
Kraftfullt DDoS-skydd från Google, men inte alla gäster Dra nytta av Googles infrastruktur Mycket enkel installation Endast tillgängligt för vissa webbplatser Project Shield är skapat av Jigsaw, ett dotterbolag till Googles moderbolag Alphabet. Utvecklingen började för flera år sedan under George Conard efter attacker mot valobservation och människorättsrelaterade webbplatser i Ukraina. Project Shield kan filtrera eventuell skadlig trafik genom att fungera som en omvänd proxy som sitter mellan en webbplats och Internet i stort och filtrerar anslutningsförfrågningar. Om en anslutning verkar vara från en legitim besökare tillåter Project Shield anslutningsbegäran. Om en anslutningsbegäran bedöms vara felaktig, till exempel flera anslutningsförsök från samma IP-adress, blockeras den. Detta system gör Project Shield extremt enkelt att implementera genom att helt enkelt ändra DNS-inställningarna på dina servrar. Alla erfarna användare som läser kanske undrar hur filtrering av trafik genom en proxy med SSL kommer att fungera. Lyckligtvis har Jigsaw tänkt på det och satt ihop en omfattande handledning för att se till att säkra anslutningar till din webbplats fungerar perfekt. Olika andra handledningar finns också tillgängliga i supportsektionen. Project Shield är för närvarande endast tillgängligt för webbplatser dedikerade till media, valövervakning och mänskliga rättigheter. Det finns också fokus på små och underfinansierade webbplatser som inte har råd med dyra värdlösningar för att skydda mot DDoS-attacker. Om din organisation inte uppfyller dessa krav kan du behöva överväga en alternativ lösning som Cloudflare.
![Flama de nube]()
moln låga
2. Molnflamma
Tungvikten av DDoS-skydd Branschledande inom DoS-lösningar Gratis nivå inkluderar grundläggande skydd Kommersiella paket är relativt dyra Alla som har använt Internet under de senaste åren kommer att känna till Cloudflare, eftersom många stora webbplatser använder deras skydd. Även om Cloudflare har sitt huvudkontor i USA, driver det mer än 180 datacenter runt om i världen – en infrastruktur som konkurrerar med Googles. Detta maximerar chanserna att dina sajter stannar online. Varje Cloudflare-användare kan välja att aktivera "Jag är under attack"-läge som kan skydda mot de mest sofistikerade DoS-attacker genom att presentera en JavaScript-utmaning. Cloudflare fungerar också vanligtvis som en omvänd proxy mellan besökare och din webbplatsvärd för att filtrera trafik på samma sätt som Jigsaw's Project Shield. I mars 2019 lanserade Cloudflare Spectrum för UDP, som ger DDoS-skydd och en brandvägg för opålitliga protokoll. Besökare som gör anslutningsförfrågningar bör köra en handske av sofistikerade filter, inklusive webbplatsens rykte, om deras IP-adress har svartlistats och HTTP-huvudet verkar misstänkt. HTTP-förfrågningar tas med fingeravtryck för att skydda mot kända botnät. Som en branschjätte kan Cloudflare enkelt utnyttja sin position när det gäller att dela information över de mer än 7 miljoner webbplatser som den hanterar. Cloudflare erbjuder en gratis grundplan som inkluderar obegränsad DDoS-reducering. För de som är villiga att betala för ett Cloudflare-företagsabonnemang (priserna börjar på 200 € eller 149 € per månad), finns mer avancerat skydd tillgängligt, som att ladda ner anpassade SSL-certifikat.
![AWS Shield]()
AWS-sköld
3. AWS-sköld
Utmärkt grundläggande DDoS-reducering med mer Den gratis standardnivån skyddar mot de vanligaste attackerna Enkel installation Den avancerade nivån är mycket dyr. AWS Shield-skydd tillhandahålls av rätt personer på Amazon Web Services. "Standard"-nivån är tillgänglig för alla AWS-kunder utan extra kostnad. Detta är idealiskt eftersom många småföretag väljer att vara värd för sina webbplatser med Amazon. AWS Shield Standard är tillgänglig för alla kunder utan extra kostnad. Skyddar mot mer traditionella nätverksattacker (Layer 3) och transport (Layer 4) när de används med Amazon Cloud Front och Route 53-tjänster. Detta borde avskräcka alla utom de mest beslutsamma hackarna. Din bandbredd, säg 15 Gbp/s, kommer dock alltid att begränsas av storleken på din Amazon-instans, vilket gör att hackare kan utföra en DoS-attack om de har tillräckligt med resurser. Ännu värre är du fortfarande ansvarig för att betala för ytterligare trafik till din instans. För att mildra detta problem erbjuder Amazon också AWS Shield Advanced. Ett abonnemang inkluderar DDoS-kostnadsskydd, vilket kan spara dig en stor ökning av din månatliga användningsräkning om du utsätts för en attack. AWS Shield Advanced kan också distribuera dina ACL:er (Access Control Lists) i utkanten av AWS-nätverket, vilket ger dig skydd mot de viktigaste attackerna. Avancerade prenumeranter drar också nytta av ett 24-timmars DRT (DDoS Response Team) samt detaljerad statistik om attacker på deras instanser. Den sinnesfrid som AWS Shield Advanced erbjuder kommer dock till en kostnad. Du måste vara beredd att prenumerera i minst ett år till ett pris av 3,000 2,200 € (XNUMX XNUMX €) per månad. Detta kommer utöver kostnaderna för att använda dataöverföring som du kan täcka på "pay as you go"-basis.
![Microsoft Azure]()
Microsoft Azure
4.Microsoft Azure
Briljant grundskydd på en prisvärd premiumnivå Standardskydd är extremt enkelt att ställa in Automatisk hotreducering Globalt DDoS-skydd för alla resurser Liksom Amazon erbjuder Microsoft möjligheten att hyra tjänstutrymme genom sin Azure-tjänst. Alla medlemmar har grundläggande DDoS-skydd. Funktionerna inkluderar permanent trafikövervakning och begränsning av nätverksattacker i realtid (Layer 3) för alla offentliga IP-adresser du använder. Detta är samma typ av skydd som erbjuds för Microsofts egna onlinetjänster och alla resurser på Azure-nätverket kan användas för att absorbera DDoS-attacker. För organisationer som behöver mer sofistikerat skydd erbjuder Azure också en "Standard"-nivå. Detta har fått mycket beröm för att det är väldigt enkelt att aktivera och kräver bara några få musklick. Viktigt är att Azure inte kräver att du gör några ändringar i dina applikationer, även om standardnivån ger skydd mot program-DDoS-attacker (Layer 7) genom Application Gateway-webbapplikationens brandvägg. Azure Monitor kan visa dig mätvärden i realtid om en attack inträffar. Dessa bevaras i 30 dagar och kan exporteras för vidare studier om du så önskar. Azure kontrollerar ständigt webbtrafik till sina resurser. Om dessa överskrider en fördefinierad tröskel, startar DDoS-reducering automatiskt. Detta inkluderar att inspektera paket för att säkerställa att de inte är missformade eller förfalskade, samt användning av hastighetsbegränsning. Standardskyddet är för närvarande 2,944 2,204 € (100 XNUMX €) per månad plus dataavgifter för upp till XNUMX resurser. Skyddet gäller även alla resurser. Du kan med andra ord inte skräddarsy DDoS-reducering till individuella åtgärder.
![Protección DDoS de Verisign]()
Verisign DDoS-skydd
5. Verisign / Neustar DDoS-skydd
Det bästa av DDoS-skydd mot säkerhetsveteraner Lätt att konfigurera via DNS Dedikerade skurcenter för att skydda mot attacker Kan distribueras på plats Gränssnittet tar tid att lära sig Uppdatering: Verisigns säkerhetstjänster flyttar till Neustar, men de funktioner och funktioner som nämns i recensionen finns kvar relativt lika. Verisign är nästan lika gammal som själva Internet. Sedan 1995 har det vuxit från en enkel certifieringsmyndighet till en stor aktör inom nätverkstjänstebranschen. Verisign DDoS-skydd fungerar i molnet. Användare kan välja att omdirigera anslutningsförsök med en enkel ändring av deras inställningar för domännamnsserver (DNS). Trafik skickas till Verisign för verifiering för att förhindra nätverksattacker. Verisign analyserar noggrant all trafik innan den omdirigerar. Eftersom Verisign driver två av världens tretton ruttnamnservrar är det inte förvånande att organisationen också driver flera dedikerade DDoS-"rensningscenter". Dessa analyserar trafiken och filtrerar bort felaktiga anslutningsförfrågningar. Den kombinerade infrastrukturen körs på nästan 2TB/s och kan blockera även de mest förödande DDoS-attacker. Detta uppnås till stor del genom Athena, Verisigns plattform för begränsning av hot. Athena är i stort sett uppdelad i tre element. "Shield" filtrerar nätverk (lager 3) och transport (lager 4) attacker genom DPI (Deep Packet Inspection), svartlistning och vitlistning och hantering av webbplatsens rykte. Athena "proxy" inspekterar HTTP-rubriker för dålig trafik under första anslutningsförsök. Både "proxy" och "shield" stöds av Athenas "load balancer" som hjälper till att förhindra applikationsattacker (lager 7). Kundportalen visar detaljerade trafikrapporter och låter dig konfigurera din hothantering, till exempel genom att skapa anslutningssvarta listor. För användare som är ovilliga att distribuera allt i molnet, erbjuder Verisign även OpenHybrid som kan installeras på plats. Bildkredit: Wikimedia Commons (Antoine Lamielle) Sammanfattning av dagens bästa erbjudanden