ในเดือนตุลาคม 2016 Dyn ผู้ให้บริการ DNS ได้รับผลกระทบจากการโจมตีแบบ Distributed Denial of Service (DDoS) ครั้งใหญ่โดยกองทัพอุปกรณ์ IoT ที่ถูกแฮ็กเพื่อจุดประสงค์นี้โดยเฉพาะ โดเมนมากกว่า 14,000 โดเมนที่ใช้บริการของ Dyn มีจำนวนมากเกินไปและไม่สามารถเข้าถึงได้ รวมถึงโดเมนชื่อดังอย่าง Amazon, HBO และ PayPal จากการศึกษาของ Cloudflare ค่าใช้จ่ายโดยเฉลี่ยของความล้มเหลวของโครงสร้างพื้นฐานสำหรับธุรกิจคือ 100,000 ยูโร (75,000 ยูโร) ต่อชั่วโมง คุณจะมั่นใจได้อย่างไรว่าองค์กรของคุณจะไม่ตกเป็นเหยื่อของการโจมตีประเภทนี้ ในคู่มือนี้ คุณจะได้เรียนรู้เกี่ยวกับผู้ให้บริการโครงสร้างพื้นฐานชั้นนำที่มีอำนาจดิจิทัลในการป้องกันการโจมตีที่ออกแบบมาเพื่อทำให้ความจุเครือข่ายของคุณท่วมท้น นอกจากนี้คุณยังจะได้เรียนรู้ว่าผู้จำหน่ายรายใดที่สามารถเสนอการป้องกันการโจมตีแอปพลิเคชันที่ซับซ้อนกว่า (เลเยอร์ 7) ซึ่งสามารถทำได้โดยไม่ต้องมีคอมพิวเตอร์ที่ถูกแฮ็กจำนวนมาก (บางครั้งเรียกว่าบอตเน็ต)
![Escudo del proyecto]()
โล่โครงการ
1. โล่ของโครงการ
การป้องกัน DDoS ที่ทรงพลังจาก Google แต่ไม่ใช่แขกทุกคน ใช้ประโยชน์จากโครงสร้างพื้นฐานของ Google การตั้งค่าที่ง่ายมาก ใช้ได้เฉพาะกับบางเว็บไซต์เท่านั้น Project Shield เป็นผลงานของ Jigsaw ซึ่งเป็นบริษัทในเครือของ Alphabet บริษัทแม่ของ Google การพัฒนาเริ่มขึ้นเมื่อหลายปีก่อนภายใต้การนำของจอร์จ โคนาร์ด หลังจากการโจมตีเว็บไซต์สังเกตการณ์การเลือกตั้งและเว็บไซต์ที่เกี่ยวข้องกับสิทธิมนุษยชนในยูเครน Project Shield สามารถกรองการรับส่งข้อมูลที่เป็นอันตรายที่เป็นไปได้โดยทำหน้าที่เป็นพร็อกซีย้อนกลับที่อยู่ระหว่างเว็บไซต์และอินเทอร์เน็ตโดยรวม โดยกรองคำขอการเชื่อมต่อ หากการเชื่อมต่อดูเหมือนว่ามาจากผู้เยี่ยมชมที่ถูกต้อง Project Shield จะอนุญาตการร้องขอการเชื่อมต่อ หากคำขอเชื่อมต่อถูกกำหนดว่าไม่ถูกต้อง เช่น ความพยายามในการเชื่อมต่อหลายครั้งจากที่อยู่ IP เดียวกัน คำขอนั้นจะถูกบล็อก ระบบนี้ทำให้ Project Shield ใช้งานได้ง่ายมากเพียงเปลี่ยนการตั้งค่า DNS ของเซิร์ฟเวอร์ของคุณ ผู้ใช้ที่มีประสบการณ์อ่านมาอาจสงสัยว่าการกรองการรับส่งข้อมูลผ่านพร็อกซีด้วย SSL ทำงานอย่างไร โชคดีที่ Jigsaw คิดเกี่ยวกับเรื่องนั้นและรวบรวมบทช่วยสอนที่ครอบคลุมเพื่อให้แน่ใจว่าการเชื่อมต่อที่ปลอดภัยไปยังเว็บไซต์ของคุณทำงานได้อย่างสมบูรณ์แบบ บทช่วยสอนอื่น ๆ อีกมากมายมีอยู่ในส่วนสนับสนุน ปัจจุบัน Project Shield ใช้งานได้เฉพาะกับเว็บไซต์ที่เกี่ยวข้องกับสื่อ การติดตามการเลือกตั้ง และสิทธิมนุษยชนเท่านั้น นอกจากนี้ยังมีการมุ่งเน้นไปที่เว็บไซต์ขนาดเล็กและมีเงินทุนไม่เพียงพอซึ่งไม่สามารถซื้อโซลูชันโฮสติ้งราคาแพงเพื่อป้องกันการโจมตี DDoS ได้ หากองค์กรของคุณไม่เป็นไปตามข้อกำหนดเหล่านี้ คุณอาจต้องพิจารณาโซลูชันอื่น เช่น Cloudflare
![Flama de nube]()
เมฆเปลวไฟ
2. เปลวไฟเมฆ
การป้องกัน DDoS รุ่นหนา ผู้นำในอุตสาหกรรมโซลูชัน DoS ระดับฟรีมีการป้องกันขั้นพื้นฐาน แพ็คเกจเชิงพาณิชย์มีราคาค่อนข้างแพง ใครก็ตามที่ใช้อินเทอร์เน็ตในช่วงไม่กี่ปีที่ผ่านมาจะคุ้นเคยกับ Cloudflare เนื่องจากเว็บไซต์หลักหลายแห่งใช้การป้องกันนี้ แม้ว่า Cloudflare จะมีสำนักงานใหญ่อยู่ในสหรัฐอเมริกา แต่ก็มีศูนย์ข้อมูลมากกว่า 180 แห่งทั่วโลก ซึ่งเป็นโครงสร้างพื้นฐานที่เป็นคู่แข่งกับ Google วิธีนี้ช่วยเพิ่มโอกาสที่เว็บไซต์ของคุณจะออนไลน์ ผู้ใช้ Cloudflare แต่ละคนสามารถเลือกเปิดใช้งานโหมด ``ฉันถูกโจมตี'' ซึ่งสามารถป้องกันการโจมตี DoS ที่ซับซ้อนที่สุดโดยการนำเสนอความท้าทายของ JavaScript โดยทั่วไปแล้ว Cloudflare จะทำหน้าที่เป็นพร็อกซีย้อนกลับระหว่างผู้เยี่ยมชมและโฮสต์เว็บไซต์ของคุณเพื่อกรองการรับส่งข้อมูลในลักษณะเดียวกับ Project Shield ของ Jigsaw ในเดือนมีนาคม 2019 Cloudflare ได้เปิดตัว Spectrum สำหรับ UDP ซึ่งให้การป้องกัน DDoS และไฟร์วอลล์สำหรับโปรโตคอลที่ไม่น่าเชื่อถือ ผู้เยี่ยมชมที่ทำการร้องขอการเชื่อมต่อควรใช้ตัวกรองที่ซับซ้อน รวมถึงชื่อเสียงของไซต์ หากที่อยู่ IP ของพวกเขาถูกขึ้นบัญชีดำและส่วนหัว HTTP ดูน่าสงสัย คำขอ HTTP จะถูกพิมพ์ลายนิ้วมือเพื่อป้องกันบอตเน็ตที่รู้จัก ในฐานะยักษ์ใหญ่ในอุตสาหกรรม Cloudflare สามารถใช้ประโยชน์จากตำแหน่งของตนในการแบ่งปันข้อมูลผ่านเว็บไซต์มากกว่า 7 ล้านเว็บไซต์ที่ Cloudflare จัดการได้อย่างง่ายดาย Cloudflare เสนอแผนพื้นฐานฟรีซึ่งรวมถึงการลด DDoS แบบไม่จำกัด สำหรับผู้ที่ยินดีชำระค่าสมัครสมาชิกธุรกิจ Cloudflare (ราคาเริ่มต้นที่ 200 ยูโรหรือ 149 ยูโรต่อเดือน) มีการป้องกันขั้นสูงเพิ่มเติมให้ใช้งาน เช่น การดาวน์โหลดใบรับรอง SSL แบบกำหนดเอง
![AWS Shield]()
AWS โล่
3. AWS Shield
การบรรเทา DDoS พื้นฐานที่ยอดเยี่ยมพร้อมมากกว่า ระดับฟรีมาตรฐานป้องกันการโจมตีที่พบบ่อยที่สุด ติดตั้งง่าย ระดับขั้นสูงมีราคาแพงมาก การป้องกัน AWS Shield ให้บริการโดยบุคคลที่เหมาะสมที่ Amazon Web Services ระดับ "มาตรฐาน" มีให้สำหรับลูกค้า AWS ทุกคนโดยไม่มีค่าใช้จ่ายเพิ่มเติม วิธีนี้เหมาะอย่างยิ่งเนื่องจากธุรกิจขนาดเล็กจำนวนมากเลือกที่จะโฮสต์เว็บไซต์ของตนกับ Amazon AWS Shield Standard พร้อมให้บริการแก่ลูกค้าทุกคนโดยไม่มีค่าใช้จ่ายเพิ่มเติม ป้องกันการโจมตีเครือข่ายแบบดั้งเดิม (เลเยอร์ 3) และการขนส่ง (เลเยอร์ 4) เมื่อใช้กับบริการ Amazon Cloud Front และ Route 53 สิ่งนี้น่าจะกำจัดแฮกเกอร์ที่มุ่งมั่นที่สุดทั้งหมดได้ อย่างไรก็ตาม แบนด์วิดท์ของคุณ เช่น 15 Gbp/s จะถูกจำกัดด้วยขนาดของอินสแตนซ์ Amazon ของคุณเสมอ ทำให้แฮกเกอร์สามารถโจมตี DoS ได้หากมีทรัพยากรเพียงพอ ที่แย่ไปกว่านั้น คุณยังคงต้องรับผิดชอบในการจ่ายเงินสำหรับการรับส่งข้อมูลเพิ่มเติมให้กับอินสแตนซ์ของคุณ เพื่อบรรเทาปัญหานี้ Amazon ยังเสนอ AWS Shield Advanced อีกด้วย การสมัครสมาชิกมีการป้องกันต้นทุน DDoS ซึ่งสามารถช่วยคุณประหยัดค่าใช้จ่ายรายเดือนเพิ่มขึ้นได้มากหากคุณตกเป็นเหยื่อของการโจมตี AWS Shield Advanced ยังสามารถปรับใช้ ACL ของคุณ (รายการควบคุมการเข้าถึง) ที่ขอบของเครือข่าย AWS เพื่อให้คุณป้องกันการโจมตีที่สำคัญที่สุด สมาชิกขั้นสูงยังได้รับประโยชน์จาก DRT (ทีมตอบสนอง DDoS) ตลอด 24 ชั่วโมง รวมถึงตัวชี้วัดโดยละเอียดเกี่ยวกับการโจมตีอินสแตนซ์ของพวกเขา อย่างไรก็ตาม ความอุ่นใจที่ข้อเสนอของ AWS Shield Advanced มาพร้อมกับค่าใช้จ่าย คุณต้องเตรียมพร้อมที่จะสมัครสมาชิกอย่างน้อยหนึ่งปีในราคา 3,000 ยูโร (2,200 ยูโร) ต่อเดือน นี่เป็นค่าใช้จ่ายเพิ่มเติมจากการใช้การถ่ายโอนข้อมูลซึ่งคุณสามารถจ่ายได้แบบ 'จ่ายตามการใช้งาน'
![Microsoft Azure]()
Microsoft Azure
4.Microsoft Azure
การป้องกันขั้นพื้นฐานที่ยอดเยี่ยมในระดับพรีเมี่ยมที่เอื้อมถึง การป้องกันมาตรฐานนั้นตั้งค่าได้ง่ายมาก การบรรเทาภัยคุกคามอัตโนมัติ การป้องกัน DDoS ทั่วโลกสำหรับทรัพยากรทั้งหมด เช่นเดียวกับ Amazon Microsoft เสนอตัวเลือกในการเช่าพื้นที่บริการผ่านบริการ Azure สมาชิกทุกคนมีการป้องกัน DDoS ขั้นพื้นฐาน คุณสมบัติต่างๆ ได้แก่ การตรวจสอบการรับส่งข้อมูลแบบถาวรและการบรรเทาการโจมตีเครือข่ายแบบเรียลไทม์ (เลเยอร์ 3) สำหรับที่อยู่ IP สาธารณะทั้งหมดที่คุณใช้ นี่เป็นการป้องกันประเภทเดียวกับที่นำเสนอให้กับบริการออนไลน์ของ Microsoft และทรัพยากรทั้งหมดบนเครือข่าย Azure สามารถใช้เพื่อดูดซับการโจมตี DDoS สำหรับองค์กรที่ต้องการการป้องกันที่ซับซ้อนยิ่งขึ้น Azure ยังมีระดับ "มาตรฐาน" อีกด้วย สิ่งนี้ได้รับการยกย่องอย่างกว้างขวางว่าเปิดใช้งานได้ง่ายมากโดยต้องคลิกเมาส์เพียงไม่กี่ครั้ง ที่สำคัญ Azure ไม่ต้องการให้คุณทำการเปลี่ยนแปลงใดๆ กับแอปพลิเคชันของคุณ แม้ว่าระดับมาตรฐานจะช่วยป้องกันการโจมตี DDoS ของแอปพลิเคชัน (เลเยอร์ 7) ผ่านไฟร์วอลล์แอปพลิเคชันเว็บ Application Gateway ก็ตาม Azure Monitor สามารถแสดงการวัดแบบเรียลไทม์หากมีการโจมตีเกิดขึ้น สิ่งเหล่านี้จะถูกเก็บไว้เป็นเวลา 30 วันและสามารถส่งออกไปศึกษาต่อได้หากต้องการ Azure ตรวจสอบปริมาณการใช้เว็บไปยังทรัพยากรของตนอย่างต่อเนื่อง หากสิ่งเหล่านี้เกินเกณฑ์ที่กำหนดไว้ล่วงหน้า การลด DDoS จะเริ่มต้นโดยอัตโนมัติ ซึ่งรวมถึงการตรวจสอบแพ็กเก็ตเพื่อให้แน่ใจว่าแพ็กเก็ตไม่มีรูปแบบผิดปกติหรือปลอมแปลง ตลอดจนการใช้การจำกัดอัตรา การป้องกันมาตรฐานปัจจุบันอยู่ที่ 2,944 ยูโร (2,204 ยูโร) ต่อเดือน บวกค่าบริการข้อมูลสำหรับทรัพยากรสูงสุด 100 รายการ การป้องกันยังใช้กับทรัพยากรทั้งหมดด้วย กล่าวอีกนัยหนึ่ง คุณไม่สามารถปรับแต่งการบรรเทา DDoS ให้เหมาะกับแต่ละมาตรการได้
![Protección DDoS de Verisign]()
Verisign DDoS Protection
5. การป้องกัน DDoS ของ Verisign / Neustar
การป้องกัน DDoS ที่ดีที่สุดต่อทหารผ่านศึกด้านความปลอดภัย กำหนดค่าได้ง่ายผ่าน DNS ศูนย์ขัดถูเฉพาะเพื่อป้องกันการโจมตี สามารถใช้งานในสถานที่ได้ อินเทอร์เฟซใช้เวลาในการเรียนรู้ อัปเดต: บริการรักษาความปลอดภัย Verisign ย้ายไปที่ Neustar แต่คุณสมบัติและฟังก์ชันการทำงานที่กล่าวถึงในการทบทวนยังคงอยู่ ค่อนข้างเหมือนกัน Verisign เกือบจะเก่าพอ ๆ กับอินเทอร์เน็ต ตั้งแต่ปี 1995 เป็นต้นมา ได้เติบโตขึ้นจากหน่วยงานออกใบรับรองธรรมดาๆ มาเป็นผู้เล่นหลักในอุตสาหกรรมบริการเครือข่าย การป้องกัน DDoS ของ Verisign ทำงานบนคลาวด์ ผู้ใช้สามารถเลือกที่จะเปลี่ยนเส้นทางความพยายามในการเชื่อมต่อด้วยการเปลี่ยนแปลงการตั้งค่าเซิร์ฟเวอร์ชื่อโดเมน (DNS) ของตน การรับส่งข้อมูลจะถูกส่งไปยัง Verisign เพื่อตรวจสอบเพื่อป้องกันการโจมตีเครือข่าย Verisign วิเคราะห์การรับส่งข้อมูลทั้งหมดอย่างรอบคอบก่อนที่จะเปลี่ยนเส้นทาง เนื่องจาก Verisign ดำเนินการเซิร์ฟเวอร์ชื่อเส้นทาง 2 ใน 3 แห่งของโลก จึงไม่น่าแปลกใจที่องค์กรยังมี "ศูนย์ล้างข้อมูล" DDoS โดยเฉพาะหลายแห่ง สิ่งเหล่านี้จะวิเคราะห์การรับส่งข้อมูลและกรองคำขอเชื่อมต่อที่ไม่ถูกต้อง โครงสร้างพื้นฐานแบบรวมทำงานที่เกือบ 4 TB/s และสามารถบล็อกได้แม้กระทั่งการโจมตี DDoS ที่ทำลายล้างมากที่สุด ซึ่งบรรลุผลสำเร็จเป็นส่วนใหญ่ผ่าน Athena ซึ่งเป็นแพลตฟอร์มบรรเทาภัยคุกคามของ Verisign เอเธน่าแบ่งออกเป็นสามองค์ประกอบอย่างกว้างๆ "Shield" กรองการโจมตีเครือข่าย (เลเยอร์ 7) และการขนส่ง (เลเยอร์ XNUMX) ผ่าน DPI (Deep Packet Inspection) การขึ้นบัญชีดำและการขึ้นบัญชีขาว และการจัดการชื่อเสียงของไซต์ "พร็อกซี" ของ Athena จะตรวจสอบส่วนหัว HTTP เพื่อหาการรับส่งข้อมูลที่ไม่ดีในระหว่างที่พยายามเชื่อมต่อครั้งแรก ทั้ง "พร็อกซี" และ "โล่" ได้รับการสนับสนุนโดย "โหลดบาลานเซอร์" ของ Athena ซึ่งช่วยป้องกันการโจมตีแอปพลิเคชัน (เลเยอร์ XNUMX) พอร์ทัลลูกค้าจะแสดงรายงานการรับส่งข้อมูลโดยละเอียด และช่วยให้คุณสามารถกำหนดค่าการจัดการภัยคุกคามได้ เช่น โดยการสร้างบัญชีดำการเชื่อมต่อ สำหรับผู้ใช้ที่ไม่เต็มใจที่จะปรับใช้ทุกอย่างในระบบคลาวด์ Verisign ยังมี OpenHybrid ที่สามารถติดตั้งในองค์กรได้ เครดิตภาพ: Wikimedia Commons (Antoine Lamielle) สรุปข้อเสนอที่ดีที่สุดของวัน