I oktober 2016 attackerades DNS Dyn-leverantören av en stor DDoS-attack (Distribuerad denial of Service) av en armé av IoT-enheter som hade hackats specifikt för detta ändamål. Mer än 14 000 domäner använder Dyn: s överväldiga tjänster och blir oåtkomliga inklusive stora namn som Amazon, HBO och PayPal.
Enligt forskning från Cloudflare är den genomsnittliga kostnaden för infrastrukturfel för ett företag $ 100 000 (£ 75 000) per timme. Hur kan du se till att din organisation inte är ett offer för den här typen av attack. I den här guiden hittar du de viktigaste infrastrukturleverantörerna som har den digitala muskeln som behövs för att skydda mot attacker som är avsedda att överväldiga din nätverkskapacitet.
Du kommer också att ta reda på vilka leverantörer som kan erbjuda skydd mot mer sofistikerade applikationsattacker (lager 7), vilket kan göras utan ett stort antal hackade datorer (ibland kända som botnät).
- Vi belyser också de bästa webbhotelltjänsterna under 2019
Projektsköld
Project Shield är tillverkningen av Jigsaw, ett alfabetets holdingbolag från Google. Byggandet inleddes för flera år sedan under George Conard efter attacken på valövervakning och webbplatser för mänskliga rättigheter i Ukraina.
Project Shield kan filtrera bort potentiellt farlig trafik genom att fungera som en omvänd proxy mellan webbplatser och internet i allmänhet och filtrera bort anslutningsförfrågningar. Om anslutningen verkar komma från en legitim besökare tillåter Project Shield anslutningsförfrågningar. Om anslutningsbegäran betraktas som dålig, t.ex. flera anslutningsförsök från samma IP-adress och blockeras sedan. Detta system gör Project Shield mycket lätt att implementera bara genom att ändra dina DNS-serverinställningar.
Varje läsningskraftanvändare kanske undrar hur filtrering av trafik genom en proxy fungerar med SSL. Lyckligtvis har Jigsaw tänkt på detta och har satt ihop en omfattande handledning för att säkerställa en säker anslutning till din webbplats för att fungera korrekt. Vissa andra handledning finns också i supportavsnittet.
För närvarande är Project Shield endast tillgängligt för media, valövervakning och mänskliga rättigheter relaterade webbplatser. Huvudfokus ligger också på små webbplatser under resurser som inte har råd med dyra värdlösningar för att skydda sig mot DDoS. Om din organisation inte passar in i dessa krav kanske du måste överväga alternativa lösningar som Cloudflare.
- Du kan registrera dig för Project Shield här
CloudFlare
Alla som har använt Internet de senaste åren kommer att känna till Cloudflare eftersom många stora webbplatser använder sitt skydd. Även om Cloudflare är baserat i USA, hanterar det mer än 180 datacenter runt om i världen: infrastruktur för att konkurrera med Google. Detta maximerar din webbplats chanser att stanna online.
Varje Cloudflare-användare kan välja att aktivera & apos; Jag mår bra. under attack & apos; läge som kan skydda mot de mest sofistikerade DoS-attackerna genom att presentera Javascript-utmaningar. Som en rutinfråga fungerar Cloudflare också som en omvänd proxy som sitter mellan dina besökare och är värd för din webbplats för att filtrera trafik på samma sätt som Project Shield Jigsaw. I mars 2019 introducerade Cloudflare Spectrum för UDP, som ger DDoS och brandväggsskydd för opålitliga protokoll.
Besökare som gör anslutningsförfrågningar måste köra sofistikerade filterutmaningar inklusive webbplatsens rykte, om deras IP-adress har svartlistats och om HTTP-huvudet ser misstänkt ut. HTTP-förfrågningar skrivs ut med fingret för att skydda mot kända botnät. Som industrigigant kan Cloudflare lätt förbättra sin position genom att dela information på de 7+ miljoner webbplatser som hanterar.
Cloudflare erbjuder ett gratis baspaket som inkluderar omöjlig DDoS-begränsning. För dig som är villig att betala för ett Cloudflare-affärsabonnemang (priserna börjar på $ 200 eller £ 149 per månad), finns ytterligare skydd tillgängligt, som att ladda upp ett anpassat SSL-certifikat.
- Du kan registrera dig för Cloudflare här
AWS Shield
AWS Shield-skydd tillhandahålls av bra människor på Amazon webbtjänster. & Apos; Standard & apos; Priset är tillgängligt för alla AWS-kunder utan extra kostnad. Detta är perfekt eftersom många små företag väljer att vara värd för sin Amazon-webbplats. AWS Shield Standard är tillgänglig för alla kunder utan extra kostnad. Det skyddar mot mer typiska nätattacker (lager 3) och transport (lager 4) när Amazon använder Cloud Front och Route 53-tjänster.
Detta bör fördröja alla utom de mest ihållande hackarna. Men din bandbredd, t.ex. 15 GB / s kommer fortfarande att begränsas av din storlek Amazon till exempel gör det möjligt för hackare att utföra DoS-attacker om de har tillräckliga resurser. Ännu värre är du ansvarig för att betala ytterligare trafik till din instans.
För att minska detta erbjuder Amazon också AWS Shield Advanced. Prenumerationer inkluderar DDoS-avgiftsskydd, vilket kan rädda dig från ett stort hopp i din månatliga användningsräkning om du är offer för en attack. AWS Shield Advanced kan också använda din ACL (Access Control List) till själva AWS-nätverksgränsen vilket ger dig skydd mot även de största attackerna.
Avancerade kunder drar också nytta av DRT (DDoS-svarsteamet) hela tiden, liksom detaljerade mätvärden om varje attack på din instans. Sinnet som ges av AWS Shield Advanced är dyrt. Du måste vara villig att prenumerera i minst ett år till ett pris av $ 3 000 (£ 2 200) per månad. Detta är utöver användningsavgiften för dataöverföring som du kan betala med & apos; betala när du går & apos; grundläggande.
- Du kan registrera dig för AWS Shield här
Microsoft Azure
Liksom Amazon erbjuder Microsoft möjligheten att hyra serviceplass genom deras Azure-tjänst. Alla medlemmar drar nytta av grundläggande DDoS-skydd. Funktioner inkluderar alltid övervakning av trafik och minskar nätattacker (lager 3) i realtid för varje offentlig IP-adress som du använder. Detta är samma typ av skydd som tillhandahålls av Microsofts onlinetjänster och alla Azure-nätverksresurser kan användas för att absorbera DDoS-attacker.
För organisationer som behöver mer sofistikerat skydd erbjuder Azure också & apos; Standard & apos; nivå. Detta har fått mycket beröm för att det är väldigt enkelt att aktivera, vilket bara kräver några musklick. Viktigast av allt kräver Azure inte att du gör några ändringar i din applikation trots att standardnivån erbjuder skydd mot applikations DDoS-attacker (lager 7) genom applikationsgrindens webbapplikationsport. Azure Monitor kan visa mätningar i realtid om en attack inträffar. Detta lagras i 30 dagar och kan exporteras för ytterligare studier om du vill.
Azure kontrollerar hela tiden webbtrafik efter dina resurser. Om detta överskrider en förutbestämd tröskel startas DDoS-begränsning automatiskt. Detta inkluderar kontroll av paket för att säkerställa att de inte är defekta eller falska samt att använda taxbegränsningar.
Standardskyddet är för närvarande 2 944 USD (2 204 £) per månad plus datakostnader på upp till 100 resurser. Skyddet gäller lika för alla resurser. Med andra ord kan du inte justera DDoS-begränsning för enskilda.
- Du kan registrera dig för Microsoft Azure här
Verisign DDoS-skydd
Uppdatering: Verisigns säkerhetstjänst överfördes till Neustar, men de funktioner och funktioner som nämns i granskningen förblir relativt desamma.
Verisign är nästan lika gammalt som själva Internet. Sedan 1995 har det vuxit från en enkel Certificate Authority till att bli en viktig aktör inom nätverksservicebranschen.
Verisign DDoS-skydd fungerar i molnet. Användare kan välja att byta anslutningsförsök med enkla ändringar av sina DNS-inställningar (Domain Name Server). Trafik skickas till Verisign för kontroll för att förhindra nätattacker. Verisign analyserar all trafik noggrant innan du dirigerar.
Eftersom Verisign driver två av tretton globala ruttnamnservrar är det inte förvånande att denna organisation också har flera speciella DDoS-“gnidningscentra”. Den analyserar trafik och filtrerar dåliga anslutningsförfrågningar. Den kombinerade infrastrukturen kör nästan 2 TB / s och kan blockera även de mest extraordinära DDoS-attackerna.
Detta uppnåddes i stor utsträckning genom Aten hotdämpningsplattformen Verisign. Athena är i stort sett indelat i tre element. & Apos; Sköld & apos; filtrera ut nätattacker (lager 3) och transportera (lager 4) genom DPI (Deep Packet Inspection), svartlista och vitlista och hanteringen av webbplatsens rykte. Athenas proxy & apos; kontrollera HTTP-rubriker för dålig trafik under det första anslutningsförsöket. & Apos; proxy & apos; och & apos; sköld & apos; stöds av Athena & balancing balancer & apos; vilket hjälper till att förhindra applikationsattacker (lager 7).
Kundportalen visar detaljerade rapporter om trafik och låter dig konfigurera din hothantering, till exempel genom att skapa en anslutning svartlista. För användare som är ovilliga att sprida allt till molnet erbjuder Verisign också OpenHybrid som kan installeras på plats.
- Du kan registrera dig för Verisign DDoS Protection här
Bildkredit: Wikimedia Commons (Antoine Lamielle)
