2016 októberében a DNS-szolgáltatót, a Dyn-t egy nagy DDoS (Distributed Denial of Service) támadás érte egy sereg IoT-eszköz, amelyeket kifejezetten erre a célra törtek fel. A Dyn szolgáltatásait használó több mint 14,000 100,000 domain túlterheltté és elérhetetlenné vált, köztük olyan nagy nevek, mint az Amazon, az HBO és a PayPal. A Cloudflare tanulmánya szerint az infrastruktúra meghibásodásának átlagos költsége a vállalkozások számára 75,000 7 euró (XNUMX XNUMX euró) óránként. Hogyan biztosíthatja, hogy szervezete ne essen áldozatul ilyen típusú támadásoknak? Ebből az útmutatóból megismerheti azokat a vezető infrastruktúra-szolgáltatókat, amelyek rendelkeznek a digitális erővel ahhoz, hogy megvédjék a hálózati kapacitást elárasztó támadásokat. Azt is megtudhatja, mely gyártók kínálhatnak védelmet a kifinomultabb (XNUMX. rétegű) alkalmazástámadások ellen, amelyek nagyszámú feltört számítógép nélkül is megtehetők (ezt néha botnetnek is nevezik).
![Escudo del proyecto]()
Projekt pajzs
1. A projekt pajzsa
Hatékony DDoS-védelem a Google-tól, de nem minden vendég Használja ki a Google infrastruktúráját. Nagyon egyszerű beállítás Csak bizonyos webhelyeken érhető el. A Project Shield a Jigsaw, a Google anyavállalata, az Alphabet leányvállalata. A fejlesztés néhány évvel ezelőtt George Conard vezetésével kezdődött, miután Ukrajnában megtámadták a választási megfigyelést és az emberi jogokkal kapcsolatos weboldalakat. A Project Shield képes kiszűrni az esetleges rosszindulatú forgalmat azáltal, hogy fordított proxyként működik, amely a webhely és az internet között helyezkedik el, és szűri a csatlakozási kéréseket. Ha úgy tűnik, hogy a kapcsolat jogos látogatótól származik, a Project Shield engedélyezi a csatlakozási kérést. Ha egy csatlakozási kérésről megállapítják, hogy helytelen, például ugyanazon IP-címről több kapcsolódási kísérlet érkezik, a rendszer blokkolja. Ez a rendszer rendkívül egyszerűen megvalósíthatóvá teszi a Project Shieldet a szerverek DNS-beállításainak egyszerű megváltoztatásával. Minden tapasztalt felhasználó kíváncsi lehet arra, hogyan működik a forgalom SSL-t használó proxyn keresztüli szűrése. Szerencsére a Jigsaw átgondolta ezt, és összeállított egy átfogó oktatóanyagot, hogy megbizonyosodjon arról, hogy a webhelyhez való biztonságos kapcsolat tökéletesen működik. Különféle egyéb oktatóanyagok is elérhetők a támogatási részben. A Project Shield jelenleg csak a médiával, a választások megfigyelésével és az emberi jogokkal foglalkozó webhelyeken érhető el. Nagy hangsúlyt fektetnek a kisméretű és alulfinanszírozott webhelyekre is, amelyek nem engedhetik meg maguknak a DDoS-támadások elleni védelem érdekében drága tárhelymegoldásokat. Ha szervezete nem felel meg ezeknek a követelményeknek, elképzelhető, hogy egy alternatív megoldást, például a Cloudflare-t kell fontolóra vennie.
![Flama de nube]()
Felhő láng
2. Felhő láng
A DDoS-védelem nagy súlya Iparági vezető a DoS-megoldásokban Az ingyenes szint alapvető védelmet tartalmaz A kereskedelmi csomagok viszonylag drágák. Aki az elmúlt néhány évben internetet használt, az ismeri a Cloudflare-t, mivel sok jelentős webhely használja a védelmet. Bár a Cloudflare központja az Egyesült Államokban van, több mint 180 adatközpontot üzemeltet szerte a világon – ez az infrastruktúra a Google-éval vetekszik. Ez maximalizálja annak esélyét, hogy webhelyei online maradjanak. Minden Cloudflare-felhasználó aktiválhatja az „I'm under attack” (Támadás alatt vagyok) módot, amely JavaScript kihívás bemutatásával védhet a legkifinomultabb DoS-támadások ellen. A Cloudflare általában fordított proxyként is működik a látogatók és a webhely gazdagépe között, hogy ugyanúgy szűrje a forgalmat, mint a Jigsaw's Project Shield. 2019 márciusában a Cloudflare elindította a Spectrum for UDP-t, amely DDoS védelmet és tűzfalat biztosít a nem megbízható protokollokhoz. A csatlakozást kérő látogatóknak kifinomult szűrők kesztyűjét kell futtatniuk, beleértve a webhely hírnevét is, ha IP-címük feketelistára került, és a HTTP-fejléc gyanúsnak tűnik. A HTTP-kérelmek ujjlenyomatot vesznek az ismert botnetekkel szembeni védelem érdekében. Iparági óriásként a Cloudflare könnyedén kihasználhatja pozícióját az információmegosztásban az általa kezelt több mint 7 millió webhelyen. A Cloudflare ingyenes alapcsomagot kínál, amely korlátlan DDoS-csökkentést tartalmaz. Azok számára, akik hajlandók fizetni a Cloudflare üzleti előfizetésért (az árak havi 200 vagy 149 eurótól kezdődnek), fejlettebb védelem áll rendelkezésre, például egyéni SSL-tanúsítványok letöltése.
![AWS Shield]()
AWS pajzs
3. AWS pajzs
Kiváló alapszintű DDoS-mérséklés több lehetőséggel A szabványos ingyenes réteg véd a leggyakoribb támadások ellen Könnyű telepítés A fejlett szint nagyon drága. Az AWS Shield védelmet az Amazon Web Services megfelelő emberei biztosítják. A „Standard” szint minden AWS-ügyfél számára további költségek nélkül elérhető. Ez ideális, mert sok kisvállalkozás úgy dönt, hogy webhelyét az Amazonon tárolja. Az AWS Shield Standard minden ügyfél számára elérhető, további költségek nélkül. Védelmet nyújt a hagyományosabb hálózati (Layer 3) és szállítási (Layer 4) támadások ellen, ha az Amazon Cloud Front és a Route 53 szolgáltatásokkal együtt használják. Ez a legelszántabb hackerek kivételével mindenkit elriaszt. Azonban a sávszélességet, mondjuk a 15 Gbp/s-ot, mindig korlátozza az Amazon példány mérete, így a hackerek DoS támadást hajthatnak végre, ha elegendő erőforrással rendelkeznek. Ami még rosszabb, továbbra is Ön köteles fizetni a példányának további forgalmáért. A probléma enyhítésére az Amazon az AWS Shield Advanced szolgáltatást is kínálja. Az előfizetés DDoS-költségvédelmet is tartalmaz, amellyel jelentős növekedést takaríthat meg havi használati számlájában, ha támadás áldozatává válik. Az AWS Shield Advanced az ACL-eket (Hozzáférés-vezérlési listákat) is telepítheti az AWS-hálózat szélére, így védelmet nyújt a legfontosabb támadások ellen. A haladó előfizetők a 24 órás DRT (DDoS Response Team) előnyeit, valamint a példányaikat ért támadásokról szóló részletes mutatókat is élvezhetik. Az AWS Shield Advanced által kínált nyugalom azonban költségekkel jár. Fel kell készülnie arra, hogy legalább egy évre előfizetjen havi 3,000 € (2,200 €) áron. Ez kiegészíti az adatátvitel használatának költségeit, amelyeket felosztó-kirovó alapon fedezhet.
![Microsoft Azure]()
Microsoft Azure
4. Microsoft Azure
Ragyogó alapvédelem megfizethető prémium szinten A normál védelem rendkívül egyszerűen beállítható Automatikus fenyegetéscsökkentés Globális DDoS-védelem minden erőforrás számára Az Amazonhoz hasonlóan a Microsoft is lehetőséget kínál szolgáltatási terület bérlésére az Azure-szolgáltatáson keresztül. Minden tag rendelkezik alapvető DDoS védelemmel. A szolgáltatások közé tartozik az állandó forgalomfigyelés és a valós idejű (3. rétegű) hálózati támadások mérséklése az összes használt nyilvános IP-cím esetében. Ez ugyanaz a típusú védelem, amelyet a Microsoft saját online szolgáltatásai is kínálnak, és az Azure-hálózat összes erőforrása felhasználható a DDoS-támadások fogadására. A kifinomultabb védelemre szoruló szervezetek számára az Azure „Normál” szintet is kínál. Ezt széles körben dicsérték, mert nagyon könnyű aktiválni, mindössze néhány egérkattintással. Fontos, hogy az Azure nem követeli meg az alkalmazások módosítását, bár a szabványos réteg védelmet nyújt az alkalmazás-DDoS-támadások ellen (7. réteg) az Application Gateway webalkalmazás-tűzfalán keresztül. Az Azure Monitor valós idejű mutatókat tud megjeleníteni, ha támadás történik. Ezeket 30 napig őrzik, és ha kívánja, további tanulmányozás céljából exportálhatók. Az Azure folyamatosan ellenőrzi az erőforrások webforgalmát. Ha ezek meghaladnak egy előre meghatározott küszöböt, a DDoS-csökkentés automatikusan elindul. Ez magában foglalja a csomagok ellenőrzését, hogy megbizonyosodjon arról, hogy nem formázott vagy hamisított, valamint sebességkorlátozást is alkalmaznak. A szabványos védelem jelenleg havi 2,944 euró (2,204 euró), plusz 100 forrás adatdíja. A védelem minden erőforrásra vonatkozik. Más szavakkal, a DDoS mérséklése nem szabható egyedi intézkedésekhez.
![Protección DDoS de Verisign]()
Verisign DDoS Protection
5. Verisign / Neustar DDoS védelem
A legjobb DDoS védelem a biztonsági veteránok ellen Könnyen konfigurálható DNS-en keresztül. Dedikált súrolóközpontok a támadások elleni védelem érdekében Helyszínen telepíthető Az interfész időbe telik a tanuláshoz Frissítés: A Verisign biztonsági szolgáltatásai átköltöznek a Neustarba, de az áttekintésben említett szolgáltatások és funkciók megmaradtak viszonylag ugyanaz. A Verisign majdnem olyan régi, mint maga az Internet. 1995 óta az egyszerű tanúsító hatóságból a hálózati szolgáltatási ágazat jelentős szereplőjévé nőtte ki magát. A Verisign DDoS védelem felhőben működik. A felhasználók a Domain Name Server (DNS) beállításainak egyszerű módosításával átirányíthatják a kapcsolódási kísérleteket. A hálózati támadások megelőzése érdekében a forgalmat a Verisignnak küldik ellenőrzésre. A Verisign gondosan elemzi az összes forgalmat az átirányítás előtt. Mivel a Verisign a világ tizenhárom útvonalnévszerveréből kettőt üzemeltet, nem meglepő, hogy a szervezet több dedikált DDoS "tisztító központot" is üzemeltet. Ezek elemzik a forgalmat, és kiszűrik a helytelen csatlakozási kéréseket. A kombinált infrastruktúra közel 2 TB/s sebességgel fut, és még a legpusztítóbb DDoS támadásokat is képes blokkolni. Ezt nagyrészt az Athena, a Verisign fenyegetéscsökkentési platformja révén érik el. Az Athena nagyjából három elemre oszlik. A "Shield" a DPI-n (Deep Packet Inspection), a fekete- és engedélyezési listán, valamint a webhely hírnevének kezelésén keresztül szűri a hálózati (3. réteg) és a szállítási (4. réteg) támadásokat. Az Athena "proxy" a kezdeti csatlakozási kísérletek során ellenőrzi a HTTP-fejlécek rossz forgalmát. Mind a "proxyt", mind a "pajzsot" támogatja az Athena "terheléselosztója", amely segít megelőzni az alkalmazástámadásokat (7. réteg). Az Ügyfélportál részletes forgalmi jelentéseket jelenít meg, és lehetővé teszi a fenyegetéskezelés konfigurálását, például a kapcsolódási tiltólisták létrehozásával. Azon felhasználók számára, akik nem szívesen telepítenek mindent a felhőben, a Verisign a helyszínen telepíthető OpenHybridet is kínálja. Kép jóváírása: Wikimedia Commons (Antoine Lamielle) A nap legjobb ajánlatainak összefoglalója