در اکتبر سال 2016 ، ارائه دهنده DNS Dyn توسط یک ارتش بزرگ از دستگاه های اینترنت اشیا which که به طور خاص برای این منظور هک شده بود ، مورد حمله اصلی DDoS (Distribution Denial of Service) قرار گرفت. بیش از 14000 دامنه با استفاده از خدمات Dyn بیش از حد مورد نیاز قرار گرفتند و از جمله نام های بزرگی مانند آمازون ، HBO و PayPal غیرقابل دسترسی شدند.
طبق تحقیقات Cloudflare ، متوسط هزینه خرابی زیرساخت برای مشاغل 100000 دلار (75000 پوند) در ساعت است. چگونه می توانید اطمینان حاصل کنید که سازمان شما قربانی این نوع حملات نمی شود. در این راهنما ، ارائه دهندگان اصلی زیرساخت را کشف می کنید که عضله دیجیتال لازم را برای محافظت در برابر حملاتی که برای پر کردن ظرفیت شبکه شما ایجاد می شود ، دارند.
همچنین خواهید فهمید که کدام یک از ارائه دهندگان می توانند در برابر حملات پیچیده تر برنامه (لایه 7) محافظت کنند ، حمله ای که می تواند بدون تعداد زیادی کامپیوتر هک شده (که بعضا بات نت شناخته می شود) انجام شود.
1. پروژه سپر
محافظت قدرتمند از DDoS از طرف Google ، اما همه از آنها دعوت نشده است
دلایل خرید
+زیرساخت های Google را مهار می کند +راه اندازی بسیار آسان
دلایل اجتناب از آن
–فقط برای وب سایت های منتخب موجود است
Project Shield ایجاد Jigsaw است ، شاخه ای از شرکت مادر Google Alphabet. توسعه پس از حملات به نظارت بر انتخابات و وب سایت های مرتبط با حقوق بشر در اوکراین ، از سالها پیش تحت مدیریت جورج کنارد آغاز شد.
Project Shield با اقدام به عنوان یک پروکسی معکوس که بین یک وب سایت و اینترنت به طور گسترده قرار دارد ، فیلتر فیلتر کردن درخواست های اتصال ، می تواند ترافیک احتمالی مخرب را فیلتر کند. اگر به نظر می رسد اتصال از طریق بازدیدكننده قانونی انجام می شود ، Project Shield درخواست اتصال را مجاز می کند. اگر یک درخواست اتصال بد تشخیص داده شود ، به عنوان مثال چندین تلاش اتصال از یک آدرس IP ، پس از آن مسدود می شود. این سیستم با تغییر تنظیمات DNS سرور شما ، اجرای Project Shield را بسیار آسان می کند.
ممکن است هر نیرویی که کاربران برق می خوانند ، تعجب کند که چگونه فیلتر کردن ترافیک از طریق پروکسی با SSL کار می کند. خوشبختانه ، Jigsaw به این فکر کرده است و یک آموزش جامع را برای اطمینان از کارکرد یکپارچه ارتباطات ایمن با سایت شما تهیه کرده است. چندین آموزش دیگر نیز در بخش پشتیبانی موجود است.
در حال حاضر Project Shield فقط برای رسانه ها ، نظارت بر انتخابات و وب سایت های مرتبط با حقوق بشر در دسترس است. تمرکز اصلی نیز بر روی وب سایت های کوچک دارای منابع کوچک است که نمی توانند از راه حل های گران قیمت میزبانی برای محافظت از خود در برابر DDoS استفاده کنند. اگر سازمان شما با این شرایط مطابقت ندارد ممکن است مجبور باشید راه حل دیگری مانند Cloudflare را در نظر بگیرید.
2. Cloudflare
جنگل محافظت از DDoS
دلایل خرید
+رهبر صنعت در راه حل های DDoS +ردیف رایگان شامل حفاظت اساسی است
دلایل اجتناب از آن
–بسته های تجاری نسبتاً گران هستند
هر کسی که در چند سال گذشته از اینترنت استفاده کرده است ، با Cloudflare آشنا خواهد شد زیرا بسیاری از وب سایت های اصلی از محافظت از آن استفاده می کنند. Cloudflare اگرچه در ایالات متحده مستقر است ، اما بیش از 180 مرکز داده را در سراسر جهان نگهداری می کند: زیرساختی برای رقیب Google. این شانس آنلاین ماندن سایت شما را به حداکثر می رساند.
هر کاربر Cloudflare می تواند حالت “من در معرض حمله” هستم که می تواند با ارائه یک چالش Javascript در برابر حتی پیچیده ترین حملات DoS محافظت کند. Cloudflare به عنوان روال معمول ، به عنوان یک پروکسی معکوس عمل می کند که بین بازدیدکنندگان و میزبان سایت شما نشسته و ترافیک را به همان روشی که پروژه Jigsaw’s Project Shield فیلتر می کند ، فیلتر می کند. در مارس 2019 ، Cloudflare Spectrum را برای UDP معرفی کرد که از DDoS حفاظت و دیوار آتش برای پروتکل های غیر قابل اطمینان فراهم می کند.
بازدیدکنندگانی که درخواست اتصال می دهند باید یک دسته فیلترهای پیچیده از جمله اعتبار سایت داشته باشند ، چه IP آنها در لیست سیاه قرار گرفته باشد و چه به نظر می رسد هدر HTTP مشکوک باشد. درخواستهای HTTP برای محافظت در برابر Botnets شناخته شده چاپ می شوند. Cloudflare به عنوان یک غول صنعت می تواند به راحتی از طریق تقسیم اطلاعات در 7+ میلیون وب سایت تحت مدیریت خود ، از موقعیت خود استفاده کند.
Cloudflare یک بسته اساسی رایگان ارائه می دهد که شامل تخفیف بی اندازه DDoS است. برای کسانی که مایلند هزینه اشتراک تجاری Cloudflare را پرداخت کنند (قیمت از 200 دلار یا 149 پوند در ماه شروع می شود) ، محافظت پیشرفته تری مانند بارگذاری سفارشی گواهی SSL در دسترس است.
3. سپر AWS
تخفیف اساسی عالی DDoS علاوه بر این
دلایل خرید
+ردیف آزاد استاندارد در برابر بیشتر حملات محافظت می کند +راه اندازی آسان
دلایل اجتناب از آن
–ردیف پیشرفته بسیار گران است
حفاظت از AWS Shield توسط افراد خوب خدمات وب آمازون ارائه می شود. ردیف “استاندارد” بدون پرداخت هزینه اضافی برای همه مشتریان AWS در دسترس است. این ایده آل است زیرا بسیاری از مشاغل کوچک تصمیم به میزبانی وب سایت های خود با آمازون می گیرند. استاندارد AWS Shield بدون پرداخت هزینه اضافی در دسترس همه مشتریان است. در صورت استفاده از سرویس های Cloud Front آمازون و مسیر 53 از حملات معمولی شبکه (لایه 3) و حمل و نقل (لایه 4) محافظت می کند.
این باید همه افراد به جز مصمم ترین هکرها را کنار بگذارد. با این حال ، پهنای باند شما به عنوان مثال 15Gbp / s هنوز به اندازه نمونه آمازون شما محدود می شود و این امکان را برای هکرها دارد که در صورت داشتن منابع کافی ، حمله DoS را انجام دهند. بدتر اینکه شما همچنان مسئولیت پرداخت هزینه ترافیک اضافی به عنوان نمونه خود را دارید.
برای کاهش این آمازون AWS Shield Advanced نیز ارائه می دهد. اشتراک شامل حفاظت از هزینه DDoS است ، که اگر قربانی حمله شوید ، می تواند شما را از افزایش قابل توجهی در صورتحساب ماهانه شما نجات دهد. AWS Shield Advanced همچنین می تواند ACL (لیست های کنترل دسترسی) شما را در مرز شبکه AWS مستقر کند و از شما در برابر بزرگترین حملات نیز محافظت کند.
مشترکان پیشرفته همچنین از DRT شبانه روزی (تیم پاسخگویی DDoS) و همچنین معیارهای دقیق در مورد هرگونه حمله به موارد شما بهره مند می شوند. ذهنی که توسط AWS Shield Advanced تهیه می شود گران است. شما باید مایل باشید حداقل برای یک سال با قیمت 3000 دلار (2200 پوند) در ماه مشترک شوید. این علاوه بر هزینه های استفاده از انتقال داده است که می توانید براساس پرداخت “در حین کار” تأمین کنید.
4. Microsoft Azure
محافظت اولیه درخشان با یک ردیف پرداختی مقرون به صرفه
دلایل خرید
+راه اندازی حفاظت استاندارد بسیار آسان است +کاهش تهدید خودکار
دلایل اجتناب از آن
–پتو DDoS برای همه منابع
مانند آمازون ، مایکروسافت گزینه اجاره فضای سرویس را از طریق سرویس Azure خود ارائه می دهد. همه اعضا از حفاظت اساسی DDoS بهره مند می شوند. این ویژگی ها همیشه شامل نظارت بر ترافیک و کاهش زمان واقعی حملات شبکه (لایه 3) برای هر آدرس IP عمومی که استفاده می کنید هستند. این همان نوع محافظتی است که از سرویس های آنلاین مایکروسافت ارائه می شود و می توان از کل منابع شبکه Azure برای جذب حملات DDoS استفاده کرد.
برای سازمانهایی که نیاز به حفاظت پیشرفته تر دارند ، لاجورد همچنین یک لایه “استاندارد” ارائه می دهد. این بسیار آسان ستوده شده است که امکان آن بسیار آسان است و فقط به چند کلیک ماوس نیاز دارد. Crucial Azure شما را ملزم به تغییر در برنامه های خود نمی کند ، اگرچه سطح استاندارد محافظت در برابر حملات DDoS برنامه (لایه 7) از طریق فایروال وب برنامه دروازه برنامه را فراهم می کند. اگر حمله ای رخ دهد ، مانیتور Azure می تواند معیارهای زمان واقعی شما را نشان دهد. این موارد به مدت 30 روز حفظ می شوند و در صورت تمایل می توانند برای مطالعه بیشتر صادر شوند.
Azure به طور مداوم بازدید از وب را به منابع شما بررسی می کند. اگر اینها از یک آستانه از پیش تعیین شده عبور کنند ، تخفیف DDoS به طور خودکار راه اندازی می شود. این شامل بازرسی بسته ها برای اطمینان از بد شکلی و جعل بسته بودن آنها و همچنین استفاده از محدود کننده نرخ است.
حفاظت استاندارد در حال حاضر 2944 دلار (2،204 £) در ماه به علاوه هزینه داده برای حداکثر 100 منبع است. حفاظت به طور مساوی برای همه منابع اعمال می شود. به عبارت دیگر شما نمی توانید تخفیف DDoS را برای موارد جداگانه تنظیم کنید.
5. از قبل DDoS Protection / Neustar را دوباره خط بزنید
بهترین در محافظت از DDoS در برابر جانبازان امنیتی
دلایل خرید
+نصب از طریق DNS آسان است +مراکز اختصاصی اسکراب برای محافظت در برابر حملات +می تواند در محل مستقر شود
دلایل اجتناب از آن
–تسلط بر رابط زمان می برد
بروزرسانی: سرویس های امنیتی Verisign به منتقل می شوند نوستار.
Verisign تقریباً به قدمت خود اینترنت قدیمی است. از سال 1995 از یک مجوز صدور گواهینامه ساده به یک بازیگر اصلی در صنعت خدمات شبکه تبدیل شده است.
محافظت Verisign DDoS در Cloud کار می کند. کاربران می توانند با تغییر ساده تنظیمات DNS (سرور نام دامنه) خود ، تلاش برای اتصال را هدایت کنند. برای جلوگیری از حملات شبکه ، ترافیک برای بررسی به Verisign ارسال می شود. قبل از هدایت مجدد ، تمام ترافیک را کاملاً تجزیه و تحلیل کنید.
از آنجا که Verisign دو سرویس از سیزده سرور نام مسیر جهانی را اداره می کند ، تعجب آور نخواهد بود که این سازمان همچنین چندین مرکز تمیز کردن DDoS اختصاصی را نگهداری می کند. اینها ترافیک را تجزیه و تحلیل می کنند و درخواست های ارتباط بد را فیلتر می کنند. زیرساخت های ترکیبی تقریباً 2 ترابایت بر ثانیه است و می تواند حتی حملات طاقت فرسای DDoS را نیز مسدود کند.
این امر تا حد زیادی از طریق Athena ، بستر کاهش تهدیدات Verisign حاصل می شود. آتنا به طور کلی به سه عنصر تقسیم شده است. فیلترهای “Shield” شبکه (لایه 3) و حملات (لایه 4) را از طریق DPI (بازرسی بسته های عمیق) ، لیست های سیاه و سفید و لیست های سفید و مدیریت اعتبار سایت فیلتر می کند. Athena ‘proxy’ در هنگام تلاش برای اتصال اولیه ، سرصفحه های HTTP را برای عدم بازدید خوب بررسی می کند. “پروکسی” و “سپر” توسط “load balancer” آتنا پشتیبانی می شود که به جلوگیری از حملات برنامه (لایه 7) کمک می کند.
پورتال مشتری گزارش های مفصلی از ترافیک را نمایش می دهد و به شما امکان می دهد مدیریت تهدید خود را پیکربندی کنید ، به عنوان مثال با ایجاد لیست های سیاه اتصال. برای کاربرانی که تمایلی به استفاده از همه چیز در Cloud ندارند ، Verisign همچنین OpenHybrid را ارائه می دهد که می تواند در محل نصب شود.
اعتبار تصویر: Wikimedia Commons (آنتوان لامیل)
منبع: tadrisriazi-news.ir