Nell'ottobre 2016, il provider DNS Dyn è stato colpito da un importante attacco DDoS (Distributed Denial of Service) da parte di un esercito di dispositivi IoT che erano stati violati appositamente per questo scopo. Più di 14,000 domini che utilizzano i servizi di Dyn sono diventati sovraccarichi e inaccessibili, inclusi grandi nomi come Amazon, HBO e PayPal. Secondo uno studio di Cloudflare, il costo medio di un guasto infrastrutturale per le aziende è di $ 100,000 ($ 75,000) all'ora. Come puoi assicurarti che la tua organizzazione non sia vittima di questo tipo di attacco? In questa guida, imparerai a conoscere i principali fornitori di infrastrutture che dispongono del potere digitale per proteggersi dagli attacchi progettati per inondare la capacità della tua rete. Imparerai anche quali provider possono offrire protezione contro attacchi alle applicazioni più sofisticati (Layer 7), che possono essere eseguiti senza un gran numero di computer compromessi (a volte chiamati botnet).
![Escudo del proyecto]()
Scudo del progetto
1. Scudo del progetto
Potente protezione DDoS da Google, ma non da tutti gli ospiti Approfitta dell'infrastruttura di Google Configurazione molto semplice Disponibile solo per alcuni siti Web Project Shield nasce da un'idea di Jigsaw, una consociata della società madre di Google, Alphabet. Lo sviluppo è iniziato diversi anni fa sotto George Conard in seguito agli attacchi all'osservazione elettorale e ai relativi siti web sui diritti umani in Ucraina. Project Shield è in grado di filtrare il potenziale traffico dannoso fungendo da proxy inverso che si trova tra un sito Web e Internet in generale, filtrando le richieste di connessione. Se una connessione sembra provenire da un visitatore legittimo, Project Shield consente la richiesta di connessione. Se si determina che una richiesta di connessione non ha avuto successo, ad esempio più tentativi di connessione dallo stesso indirizzo IP, viene bloccata. Questo sistema rende Project Shield estremamente facile da implementare semplicemente modificando le impostazioni DNS dei tuoi server. Qualsiasi utente esperto che legge questo potrebbe chiedersi come funzionerà il filtraggio del traffico attraverso un proxy con SSL. Fortunatamente, Jigsaw ha pensato a questo e ha messo insieme un tutorial completo per assicurarsi che le connessioni sicure al tuo sito funzionino a meraviglia. Vari altri tutorial sono disponibili anche nella sezione di supporto. Project Shield è attualmente disponibile solo per media dedicati, monitoraggio delle elezioni e siti Web sui diritti umani. C'è anche un focus sui siti web piccoli e sottofinanziati che non possono permettersi costose soluzioni di hosting per proteggersi dagli attacchi DDoS. Se la tua organizzazione non soddisfa questi requisiti, potresti dover prendere in considerazione una soluzione alternativa come Cloudflare.
![Flama de nube]()
Fiamma della nuvola
2. Fiamma della nuvola
Il peso massimo della protezione DDoS Leader del settore nelle soluzioni DoS Il livello gratuito include la protezione di base I pacchetti commerciali sono relativamente costosi Chiunque abbia utilizzato Internet negli ultimi anni avrà familiarità con Cloudflare, poiché molti dei principali siti Web utilizzano la sua protezione. Sebbene Cloudflare abbia sede negli Stati Uniti, gestisce più di 180 data center in tutto il mondo, un'infrastruttura che rivaleggia con quella di Google. Ciò massimizza le possibilità che i tuoi siti rimangano online. Ogni utente di Cloudflare può scegliere di attivare la modalità ``Sono sotto attacco'' che può proteggere dagli attacchi DoS più sofisticati presentando una sfida JavaScript. Cloudflare in genere funge anche da proxy inverso tra i visitatori e l'host del tuo sito per filtrare il traffico allo stesso modo di Project Shield di Jigsaw. A marzo 2019, Cloudflare ha rilasciato Spectrum per UDP, che fornisce protezione DDoS e un firewall per protocolli non attendibili. I visitatori che effettuano richieste di connessione devono eseguire una serie di filtri sofisticati, inclusa la reputazione del sito, se il loro indirizzo IP è stato inserito nella lista nera e l'intestazione HTTP sembra sospetta. Le richieste HTTP vengono sottoposte a fingerprinting per proteggersi da botnet note. In qualità di gigante del settore, Cloudflare può facilmente sfruttare la sua posizione condividendo le informazioni tra gli oltre 7 milioni di siti Web che gestisce. Cloudflare offre un piano di base gratuito che include una mitigazione DDoS illimitata. Per coloro che desiderano sborsare per un abbonamento commerciale a Cloudflare (i prezzi partono da € 200 o € 149 al mese), è disponibile una protezione più avanzata, come il download di certificati SSL personalizzati.
![AWS Shield]()
Scudo AWS
3. AWS Shield
Eccellente benchmark Mitigazione DDoS con più Il livello gratuito standard protegge dagli attacchi più comuni Facile installazione Il livello avanzato è molto costoso. La protezione AWS Shield è fornita dalle persone giuste in Amazon Web Services. Il livello "Standard" è disponibile per tutti i clienti AWS senza costi aggiuntivi. Questo è l'ideale perché molte piccole imprese scelgono di ospitare i propri siti Web con Amazon. AWS Shield Standard è disponibile per tutti i clienti senza costi aggiuntivi. Protegge dagli attacchi di rete (Layer 3) e di trasporto (Layer 4) più tradizionali se utilizzato con i servizi Amazon Cloud Front e Route 53. Ciò dovrebbe scoraggiare tutti tranne gli hacker più determinati. Tuttavia, la tua larghezza di banda, diciamo 15 Gbp/s, sarà sempre limitata dalle dimensioni della tua istanza Amazon, consentendo agli hacker di eseguire un attacco DoS se dispongono di risorse sufficienti. Peggio ancora, sei ancora responsabile del pagamento di qualsiasi traffico aggiuntivo verso la tua istanza. Per mitigare questo problema, Amazon offre anche AWS Shield Advanced. Un abbonamento include la protezione dei costi DDoS, che può farti risparmiare un notevole aumento della bolletta mensile di utilizzo se sei vittima di un attacco. AWS Shield Advanced può anche distribuire i tuoi ACL (elenchi di controllo degli accessi) all'edge della rete AWS, offrendoti protezione dagli attacchi più grandi. Gli abbonati avanzati beneficiano anche di un DRT (DDoS Response Team) 24 ore su 3,000 e di metriche dettagliate sugli attacchi alle loro istanze. Tuttavia, la tranquillità offerta da AWS Shield Advanced ha un costo. Dovresti essere pronto ad abbonarti per un minimo di un anno al prezzo di € 2,200 (€ XNUMX) al mese. Questo è in aggiunta ai costi di utilizzo del trasferimento di dati che puoi coprire su base "pay as you go".
![Microsoft Azure]()
Microsoft Azure
4.Microsoft Azure
Protezione di base brillante a un livello premium conveniente La protezione standard è estremamente facile da configurare Mitigazione automatizzata delle minacce Protezione DDoS globale per tutte le risorse Come Amazon, Microsoft offre la possibilità di affittare spazio di servizio tramite il suo servizio Azure. Tutti i membri hanno una protezione DDoS di base. Le funzionalità includono il monitoraggio del traffico 3 ore su 7, 30 giorni su 2,944 e la mitigazione degli attacchi di rete in tempo reale (livello 2,204) per tutti gli indirizzi IP pubblici che utilizzi. Questo è lo stesso tipo di protezione offerto ai servizi online di Microsoft e tutte le risorse nella rete di Azure possono essere utilizzate per assorbire gli attacchi DDoS. Per le organizzazioni che necessitano di una protezione più sofisticata, Azure offre anche un livello "Standard". Questo è stato ampiamente elogiato per essere molto facile da attivare, richiedendo solo pochi clic del mouse. È importante notare che Azure non richiede di apportare modifiche alle applicazioni, anche se il livello standard fornisce protezione dagli attacchi DDoS alle applicazioni (livello 100) tramite il Web application firewall del gateway applicazione. Monitoraggio di Azure può mostrare metriche in tempo reale se si verifica un attacco. Questi vengono conservati per XNUMX giorni e possono essere esportati per ulteriori studi, se lo si desidera. Azure controlla costantemente il traffico Web verso le tue risorse. Se questi superano una soglia predefinita, la mitigazione DDoS si avvia automaticamente. Ciò include l'ispezione dei pacchetti per assicurarsi che non siano malformati o contraffatti, nonché l'uso della limitazione della velocità. La protezione standard è attualmente di € XNUMX (€ XNUMX) al mese più i costi dei dati per un massimo di XNUMX risorse. La protezione si applica anche a tutte le risorse. In altre parole, non è possibile adattare la mitigazione DDoS alle singole misure.
![Protección DDoS de Verisign]()
Protezione DDoS di Verisign
5. Protezione DDoS Verisign / Neustar
Il meglio della protezione DDoS contro i veterani della sicurezza Facile da configurare tramite DNS Centri di pulizia dedicati per la protezione dagli attacchi Può essere implementato in loco L'interfaccia richiede tempo per essere appresa Aggiornamento: i servizi di sicurezza Verisign passano a Neustar, ma le caratteristiche e le funzionalità menzionate nella recensione sono rimaste relativamente uguale. Verisign è vecchio quasi quanto Internet stesso. Dal 1995, da semplice autorità di certificazione è diventata un attore importante nel settore dei servizi di rete. La protezione DDoS di Verisign funziona nel cloud. Gli utenti possono scegliere di reindirizzare i tentativi di connessione con una semplice modifica alle impostazioni del Domain Name Server (DNS). Il traffico viene inviato a Verisign per la verifica per prevenire attacchi di rete. Verisign analizza attentamente tutto il traffico prima del reindirizzamento. Poiché Verisign gestisce due dei tredici server dei nomi di percorso del mondo, non sorprende che l'organizzazione gestisca anche diversi "centri di pulizia DDoS" dedicati. Questi analizzano il traffico e filtrano le richieste di connessione errate. L'infrastruttura combinata funziona a quasi 2 TB/s e può bloccare anche gli attacchi DDoS più devastanti. Ciò si ottiene in gran parte tramite Athena, la piattaforma di mitigazione delle minacce di Verisign. Atena è sostanzialmente divisa in tre elementi. Lo "Shield" filtra gli attacchi di rete (livello 3) e di trasporto (livello 4) tramite DPI (Deep Packet Inspection), blacklist e whitelist e gestione della reputazione del sito. Il "proxy" Athena ispeziona le intestazioni HTTP alla ricerca di traffico non valido durante i tentativi di connessione iniziali. Sia "proxy" che "shield" supportano il "bilanciamento del carico" di Athena che aiuta a prevenire gli attacchi alle applicazioni (livello 7). Il Portale clienti visualizza rapporti dettagliati sul traffico e consente di configurare la gestione delle minacce, ad esempio creando blacklist di connessione. Per gli utenti che sono riluttanti a implementare tutto nel cloud, Verisign offre anche OpenHybrid che può essere installato in locale. Credito immagine: Wikimedia Commons (Antoine Lamielle) Raccolta delle migliori offerte del giorno