ในเดือนตุลาคม 2016 Dyn ผู้ให้บริการ DNS ถูกโจมตีโดยกองทัพของอุปกรณ์ IoT ที่ถูกแฮ็กโดยเฉพาะ โดเมนมากกว่า 14,000 โดเมนที่ใช้บริการของ Dyn นั้นอิ่มตัวและไม่สามารถเข้าถึงได้รวมถึงชื่อใหญ่ ๆ เช่น Amazon, HBO และ PayPal
จากการศึกษาของ Cloudflare ต้นทุนเฉลี่ยของความล้มเหลวของโครงสร้างพื้นฐานสำหรับธุรกิจในเวลานั้นคือ 100,000 ดอลลาร์ (75,000 ปอนด์) แล้วคุณจะมั่นใจได้อย่างไรว่าองค์กรของคุณจะไม่ตกเป็นเหยื่อของการโจมตีประเภทนี้? ในคู่มือนี้คุณจะได้เรียนรู้เกี่ยวกับผู้ให้บริการโครงสร้างพื้นฐานชั้นนำที่มีพลังดิจิทัลในการป้องกันการโจมตีที่ออกแบบมาเพื่อรองรับความจุเครือข่ายของคุณ
นอกจากนี้คุณยังจะค้นพบว่าผู้ขายรายใดสามารถให้การป้องกันการโจมตีแอปพลิเคชันที่ซับซ้อนมากขึ้น (เลเยอร์ 7) ซึ่งสามารถทำได้โดยไม่ต้องมีคอมพิวเตอร์ที่ถูกแฮ็กจำนวนมาก (บางครั้งเรียกว่าบ็อตเน็ต)
1. โครงการโล่
การป้องกันที่มีประสิทธิภาพจากการโจมตี DDoS ของ Google แต่ไม่ใช่ทุกคนที่ได้รับเชิญ
ใช้ประโยชน์จากโครงสร้างพื้นฐานของ Google
ติดตั้งง่ายมาก
มีให้บริการสำหรับบางเว็บไซต์เท่านั้น
Project Shield เป็นผลงานการผลิตของ Jigsaw ซึ่งเป็น บริษัท ในเครือของ Google Alphabet การพัฒนาเริ่มขึ้นเมื่อหลายปีก่อนภายใต้ George Conard อันเป็นผลมาจากการโจมตีการตรวจสอบการเลือกตั้งและเว็บไซต์ด้านสิทธิมนุษยชนในยูเครน
Project Shield สามารถกรองการเข้าชมที่อาจเป็นอันตรายโดยทำหน้าที่เป็น reverse proxy ระหว่างเว็บไซต์และอินเทอร์เน็ตที่กว้างขึ้นกรองคำขอการเชื่อมต่อ หากดูเหมือนว่าการเชื่อมต่อมาจากผู้เยี่ยมชมที่ถูกต้อง Project Shield จะอนุญาตการร้องขอการเชื่อมต่อ หากการร้องขอการเชื่อมต่อถือว่าไม่ดีตัวอย่างเช่นพยายามเชื่อมต่อหลายครั้งจากที่อยู่ IP เดียวกันจะถูกบล็อก ระบบนี้ทำให้ Project Shield ใช้งานได้ง่ายมากเพียงแค่แก้ไขการตั้งค่า DNS ของเซิร์ฟเวอร์ของคุณ
ใครที่อ่านแล้วอาจสงสัยว่าการกรองทราฟฟิกผ่านพร็อกซีด้วย SSL จะทำงานอย่างไร โชคดีที่ Jigsaw ได้คิดถึงเรื่องนี้และรวบรวมบทช่วยสอนที่ครอบคลุมเพื่อให้แน่ใจว่าการเชื่อมต่อที่ปลอดภัยไปยังไซต์ของคุณจะทำงานได้อย่างราบรื่น นอกจากนี้ยังมีบทช่วยสอนอื่น ๆ อีกมากมายในส่วนการสนับสนุน
ปัจจุบัน Project Shield มีให้บริการสำหรับสื่อการตรวจสอบการเลือกตั้งและเว็บไซต์ด้านสิทธิมนุษยชนเท่านั้น นอกจากนี้ยังให้ความสำคัญกับเว็บไซต์ขนาดเล็กและทุนไม่เพียงพอที่ไม่สามารถซื้อโซลูชันโฮสติ้งราคาแพงเพื่อป้องกันตนเองจากการโจมตี DDoS หากองค์กรของคุณไม่เป็นไปตามข้อกำหนดเหล่านี้คุณอาจต้องพิจารณาโซลูชันอื่นเช่น Cloudflare
2 Cloudflare
รูปแบบของการป้องกัน DDoS
ผู้นำในอุตสาหกรรมด้านโซลูชั่น DoS
ระดับฟรีรวมถึงการป้องกันขั้นพื้นฐาน
แพ็คเกจธุรกิจมีราคาค่อนข้างแพง
ทุกคนที่ใช้อินเทอร์เน็ตในช่วงไม่กี่ปีที่ผ่านมาจะคุ้นเคยกับ Cloudflare เนื่องจากเว็บไซต์หลักหลายแห่งใช้การป้องกัน แม้ว่า Cloudflare จะตั้งอยู่ในสหรัฐอเมริกา แต่ก็บริหารศูนย์ข้อมูล 165 แห่งทั่วโลกซึ่งเป็นโครงสร้างพื้นฐานที่เทียบเท่ากับ Google วิธีนี้จะเพิ่มโอกาสสูงสุดที่เว็บไซต์ของคุณจะออนไลน์
ผู้ใช้ Cloudflare แต่ละคนสามารถเลือกที่จะเปิดใช้งานโหมด "ฉันกำลังถูกโจมตี" ซึ่งสามารถป้องกันการโจมตีปฏิเสธการบริการที่ซับซ้อนที่สุดได้โดยการนำเสนอความท้าทายของ Javascript นอกจากนี้ Cloudflare ยังทำหน้าที่เป็น reverse proxy ระหว่างผู้เยี่ยมชมและโฮสต์ไซต์ของคุณเป็นประจำเพื่อกรองการรับส่งข้อมูลในลักษณะเดียวกับ Jigsaw Project Shield ในเดือนมีนาคม 2019 มีการเปิดตัว Spectrum สำหรับ UDP ซึ่งให้การป้องกันการโจมตี DDoS และไฟร์วอลล์สำหรับโปรโตคอลที่ไม่น่าเชื่อถือ
ผู้เยี่ยมชมที่ร้องขอการเชื่อมต่อควรเรียกใช้ตัวกรองที่ซับซ้อนรวมถึงชื่อเสียงของไซต์หาก IP ของพวกเขาอยู่ในบัญชีดำและหากส่วนหัว HTTP ดูน่าสงสัย คำขอ HTTP คือลายนิ้วมือเพื่อป้องกันเครือข่ายซอมบี้ที่รู้จัก ในฐานะที่เป็นยักษ์ใหญ่ในอุตสาหกรรม Cloudflare สามารถใช้ประโยชน์จากตำแหน่งได้อย่างง่ายดายด้วยการแบ่งปันข้อมูลบนเว็บไซต์มากกว่า 7 ล้านเว็บไซต์
Cloudflare เสนอแพ็คเกจพื้นฐานฟรีที่มีข้อ จำกัด ของการโจมตี DDoS โดยไม่มีการวัดผล สำหรับผู้ที่ยินดีจ่ายค่าสมาชิกธุรกิจ Cloudflare (ราคาเริ่มต้นที่ 200 เหรียญหรือ 149 ปอนด์ต่อเดือน) จะมีการป้องกันขั้นสูงเพิ่มเติมเช่นดาวน์โหลดใบรับรอง SSL แบบกำหนดเอง
3. AWS Shield
การลดขั้นพื้นฐานที่ยอดเยี่ยมของการโจมตี DDoS ด้วยอีก
ระดับมาตรฐานฟรีป้องกันการโจมตีที่พบบ่อยที่สุด
ติดตั้งง่าย
ขั้นสูงมีราคาแพงมาก
AWS Shield Protection ให้บริการโดยบุคคลที่มีความสามารถในบริการเว็บของ Amazon ระดับ "มาตรฐาน" มีให้บริการโดยไม่มีค่าใช้จ่ายเพิ่มเติมสำหรับลูกค้า AWS ทั้งหมด สิ่งนี้เหมาะอย่างยิ่งเนื่องจากธุรกิจขนาดเล็กจำนวนมากเลือกที่จะโฮสต์เว็บไซต์ของตนกับ Amazon AWS Shield Standard พร้อมให้บริการสำหรับลูกค้าทุกคนโดยไม่มีค่าใช้จ่ายเพิ่มเติม ป้องกันการโจมตีเครือข่ายทั่วไป (Layer 3) และการขนส่ง (Layer 4) เมื่อใช้บริการ Cloud Front และ Route 53 ของ Amazon
สิ่งนี้ควรขัดขวางทุกคนยกเว้นโจรสลัดที่มุ่งมั่นที่สุด อย่างไรก็ตามแบนด์วิดท์ของคุณเช่น 15 Gbps จะยังคงถูก จำกัด ด้วยขนาดของอินสแตนซ์ Amazon ของคุณทำให้แฮกเกอร์สามารถโจมตีแบบ DoS ได้หากมีทรัพยากรเพียงพอ ยิ่งไปกว่านั้นคุณยังต้องรับผิดชอบในการจ่ายปริมาณการใช้งานเพิ่มเติมให้กับอินสแตนซ์ของคุณ
เพื่อลดปัญหานี้ Amazon ยังมี AWS Shield Advanced การสมัครสมาชิกรวมถึงการป้องกันค่าใช้จ่ายจากการโจมตี DDoS ซึ่งสามารถช่วยคุณประหยัดค่าใช้จ่ายรายเดือนที่เพิ่มขึ้นอย่างสูงหากคุณตกเป็นเหยื่อของการโจมตี AWS Shield Advanced ยังสามารถปรับใช้รายการควบคุมการเข้าถึง (ACL) ของคุณที่ขอบของเครือข่าย AWS เพื่อปกป้องคุณจากการโจมตีที่สำคัญที่สุด
สมาชิกขั้นสูงยังได้รับประโยชน์จาก DRT ตลอด 24 ชั่วโมง (ทีมตอบสนอง DDoS) รวมถึงการวัดโดยละเอียดของการโจมตีทั้งหมดในอินสแตนซ์ของพวกเขา อย่างไรก็ตามจิตวิญญาณที่นำเสนอโดย AWS Shield Advanced นั้นมีราคาแพง คุณต้องพร้อมที่จะสมัครสมาชิกอย่างน้อยหนึ่งปีในราคา 3,000 ดอลลาร์ (2,200 ปอนด์) ต่อเดือน นอกเหนือจากค่าใช้จ่ายในการใช้การถ่ายโอนข้อมูลที่คุณสามารถจ่ายได้ "pay as you go"
4.Microsoft Azure
การป้องกันขั้นพื้นฐานที่ยอดเยี่ยมด้วยราคาที่ไม่แพงและระดับการชำระเงิน
การป้องกันมาตรฐานนั้นง่ายมากในการกำหนดค่า
การบรรเทาภัยคุกคามโดยอัตโนมัติ
คุ้มครอง DDoS สำหรับทรัพยากรทั้งหมด
เช่นเดียวกับ Amazon Microsoft เสนอความสามารถในการเช่าพื้นที่บริการผ่านบริการ Azure สมาชิกทุกคนได้รับประโยชน์จากการป้องกันขั้นพื้นฐานจากการโจมตี DDoS คุณสมบัติมักจะรวมถึงการตรวจสอบปริมาณการใช้งานและการลดการโจมตีเครือข่ายแบบเรียลไทม์ (ชั้น 3) สำหรับที่อยู่ IP สาธารณะทั้งหมดที่คุณใช้ นี่เป็นการป้องกันประเภทเดียวกับบริการออนไลน์ของ Microsoft และทรัพยากรเครือข่าย Azure ทั้งหมดสามารถใช้เพื่อดูดซับการโจมตี DDoS ได้
สำหรับ บริษัท ที่ต้องการการปกป้องที่ซับซ้อนมากขึ้น Azure ยังมีระดับ "มาตรฐาน" อีกด้วย สิ่งนี้ได้รับการยกย่องอย่างกว้างขวางว่าเปิดใช้งานง่ายมากโดยต้องคลิกเมาส์เพียงไม่กี่ครั้ง ที่สำคัญที่สุด Azure ไม่ต้องการให้คุณแก้ไขแอปพลิเคชันของคุณแม้ว่าระดับมาตรฐานจะให้การป้องกันการโจมตี DDoS โดยแอปพลิเคชัน (Layer 7) ผ่านไฟร์วอลล์เว็บแอปพลิเคชันเกตเวย์ของแอปพลิเคชัน Azure Monitor สามารถแสดงสถิติแบบเรียลไทม์หากมีการโจมตีเกิดขึ้น สิ่งเหล่านี้จะถูกเก็บไว้เป็นเวลา 30 วันและสามารถส่งออกเพื่อการศึกษาเพิ่มเติมได้หากต้องการ
Azure ตรวจสอบปริมาณการใช้เว็บบนทรัพยากรของคุณอย่างต่อเนื่อง หากเกินเกณฑ์ที่กำหนดไว้ล่วงหน้าการลด DDoS จะเริ่มโดยอัตโนมัติ ซึ่งรวมถึงการตรวจสอบบรรจุภัณฑ์เพื่อให้แน่ใจว่าบรรจุภัณฑ์เหล่านี้ไม่ได้รับการดูแลอย่างไม่ถูกต้องหรือเป็นของปลอมตลอดจนการใช้ข้อ จำกัด การไหล
ปัจจุบันการคุ้มครองมาตรฐานอยู่ที่ 2,944 ดอลลาร์สหรัฐ (2,204 ปอนด์) ต่อเดือนบวกค่าบริการข้อมูลสำหรับทรัพยากรสูงสุด 100 รายการ การป้องกันยังใช้กับทรัพยากรทั้งหมด กล่าวอีกนัยหนึ่งคุณไม่สามารถปรับแต่งมาตรการบรรเทาสำหรับการโจมตี DDoS ได้
5. Verisign การป้องกัน DDoS
การป้องกันการโจมตี DDoS ที่ดีที่สุดจากผู้มีประสบการณ์ด้านการรักษาความปลอดภัย
ติดตั้งง่ายผ่าน DNS
ศูนย์ซักอบรีดเฉพาะเพื่อป้องกันการโจมตี
สามารถติดตั้งบนไซต์ได้
อินเทอร์เฟซต้องใช้เวลาในการควบคุม
อัปเดต: บริการรักษาความปลอดภัยของ Verisign นำไปสู่ Neustarแต่คุณสมบัติและลักษณะที่กล่าวถึงในบทวิจารณ์นี้ยังคงเหมือนเดิม
Verisign เกือบจะเก่าพอ ๆ กับอินเทอร์เน็ต ตั้งแต่ปี 1995 เป็นต้นมาได้เติบโตจากผู้ออกใบรับรองโสดมาเป็นผู้เล่นหลักในอุตสาหกรรมบริการเครือข่าย
การป้องกัน Verisign DDoS ทำงานในระบบคลาวด์ ผู้ใช้สามารถเลือกที่จะเปลี่ยนเส้นทางการพยายามเข้าสู่ระบบเพียงแค่เปลี่ยนการตั้งค่าเซิร์ฟเวอร์ชื่อโดเมน (DNS) การรับส่งข้อมูลจะถูกส่งไปยัง Verisign เพื่อการตรวจสอบเพื่อป้องกันการโจมตีเครือข่าย Verisign วิเคราะห์การเข้าชมทั้งหมดอย่างรอบคอบก่อนที่จะเปลี่ยนเส้นทาง
เนื่องจาก Verisign ดำเนินการเนมเซิร์ฟเวอร์ของพา ธ ทั่วโลกสองใน 13 รายการจึงไม่น่าแปลกใจที่องค์กรยังมี "ศูนย์ล้าง DDoS" โดยเฉพาะหลายแห่ง สิ่งเหล่านี้จะวิเคราะห์การรับส่งข้อมูลและกรองคำขอการเชื่อมต่อที่ไม่ดีออกไป โครงสร้างพื้นฐานแบบรวมมีความเร็วถึงเกือบ 2 TB / s และสามารถป้องกันการโจมตี DDoS ที่เป็นอันตรายที่สุดได้
สิ่งนี้สามารถทำได้โดยส่วนใหญ่ผ่าน Athena ซึ่งเป็นแพลตฟอร์มบรรเทาภัยคุกคามของ Verisign Athena แบ่งออกเป็นสามส่วนใหญ่ "โล่" จะกรองเครือข่าย (ชั้น 3) และการขนส่ง (ชั้น 4) การโจมตีผ่าน DPI (การตรวจสอบแพ็คเก็ตแบบลึก) บัญชีดำและรายการที่อนุญาตพิเศษและการจัดการชื่อเสียงของไซต์ Athena "พร็อกซี" จะตรวจสอบส่วนหัว HTTP เพื่อหาปริมาณการใช้งานที่ไม่ดีในระหว่างการพยายามเข้าสู่ระบบครั้งแรก "พร็อกซี" และ "โล่" เข้ากันได้กับ "โหลดบาลานเซอร์" ของ Athena ซึ่งช่วยป้องกันการโจมตีของแอปพลิเคชัน (ชั้น 7)
พอร์ทัลลูกค้าแสดงรายงานปริมาณการใช้งานโดยละเอียดและอนุญาตให้คุณกำหนดค่าการจัดการภัยคุกคามของคุณตัวอย่างเช่นโดยการสร้างบัญชีดำการเชื่อมต่อ Verisign ยังเสนอ OpenHybrid ให้กับผู้ใช้ที่ไม่เต็มใจที่จะปรับใช้ทุกอย่างในระบบคลาวด์และสามารถติดตั้งบนไซต์ได้
เครดิตรูปภาพ: Wikimedia Commons (Antoine Lamielle)