En octubre de 2016, el proveedor de DNS Dyn fue golpeado con un gran ataque de Denegación de Servicio Distribuido (DDoS) por un ejército de dispositivos IoT que habían sido pirateados específicamente para este propósito. Más de 14,000 dominios que utilizan los servicios de Dyn se han sobrecargado y se han vuelto inaccesibles, incluidos grandes nombres como Amazon, HBO y PayPal.
Según un estudio de Cloudflare, el costo promedio de una falla de infraestructura para las empresas es de € 100,000 (€ 75,000) por hora. ¿Cómo puede asegurarse de que su organización no sea víctima de este tipo de ataque? En esta guía, aprenderá sobre los proveedores de infraestructura líderes que tienen el poder digital para protegerse contra ataques diseñados para inundar la capacidad de su red.
También aprenderá qué proveedores pueden ofrecer protección contra ataques de aplicaciones más sofisticados (Capa 7), que se pueden realizar sin una gran cantidad de computadoras pirateadas (a veces denominadas botnet).
![Escudo del proyecto]()
โล่โครงการ
1. โล่ของโครงการ
Potente protección DDoS de Google, pero no todos los invitados
Aprovecha la infraestructura de Google
Configuración muy simple
Solo disponible para ciertos sitios web
Project Shield es la creación de Jigsaw, una subsidiaria de la empresa matriz de Google Alphabet. El desarrollo comenzó hace varios años bajo George Conard luego de los ataques a la observación de elecciones y sitios web relacionados con los derechos humanos en Ucrania.
Project Shield es capaz de filtrar el posible tráfico malicioso actuando como un proxy inverso que se encuentra entre un sitio web e Internet en general, filtrando las solicitudes de conexión. Si una conexión parece ser de un visitante legítimo, Project Shield permite la solicitud de conexión. Si se determina que una solicitud de conexión es incorrecta, como múltiples intentos de conexión desde la misma dirección IP, se bloquea. Este sistema hace que Project Shield sea extremadamente fácil de implementar simplemente cambiando la configuración de DNS de sus servidores.
Cualquier usuario experimentado que lea puede preguntarse cómo funcionará el filtrado de tráfico a través de un proxy con SSL. Afortunadamente, Jigsaw ha pensado en eso y ha elaborado un tutorial completo para asegurarse de que las conexiones seguras a su sitio funcionen a la perfección. Varios otros tutoriales también están disponibles en la sección de soporte.
Actualmente, Project Shield solo está disponible para sitios web dedicados a medios de comunicación, monitoreo de elecciones y derechos humanos. También hay un enfoque en sitios web pequeños y con fondos insuficientes que no pueden permitirse costosas soluciones de alojamiento para protegerse contra los ataques DDoS. Si su organización no cumple con estos requisitos, es posible que deba considerar una solución alternativa como Cloudflare.
![Flama de nube]()
เมฆเปลวไฟ
2. เปลวไฟเมฆ
El peso pesado de la protección DDoS
Líder de la industria en soluciones DoS
El nivel gratuito incluye protección básica
Los paquetes comerciales son relativamente caros
Cualquiera que haya usado Internet durante los últimos años estará familiarizado con Cloudflare, ya que muchos sitios web importantes usan su protección. Aunque Cloudflare tiene su sede en los Estados Unidos, opera más de 180 centros de datos en todo el mundo: una infraestructura que rivaliza con la de Google. Esto maximiza las posibilidades de que sus sitios se mantengan en línea.
Cada usuario de Cloudflare puede optar por activar el modo `` Estoy bajo ataque '' que puede proteger contra los ataques DoS más sofisticados al presentar un desafío de JavaScript. Por lo general, Cloudflare también actúa como un proxy inverso entre los visitantes y el host de su sitio para filtrar el tráfico de la misma manera que Jigsaw's Project Shield. En marzo de 2019, Cloudflare lanzó Spectrum para UDP, que proporciona protección DDoS y un firewall para protocolos no confiables.
Los visitantes que realizan solicitudes de conexión deben ejecutar un guante de filtros sofisticados, incluida la reputación del sitio, si su dirección IP ha sido incluida en la lista negra y el encabezado HTTP parece sospechoso. Las solicitudes HTTP se toman por huellas digitales para proteger contra las botnets conocidas. Como gigante de la industria, Cloudflare puede aprovechar fácilmente su posición al compartir información en los más de 7 millones de sitios web que administra.
Cloudflare ofrece un plan básico gratuito que incluye mitigación DDoS ilimitada. Para aquellos que estén dispuestos a pagar una suscripción comercial de Cloudflare (los precios comienzan en € 200 o € 149 por mes), hay disponible una protección más avanzada, como la descarga de certificados SSL personalizados.
![AWS Shield]()
AWS โล่
3. AWS Shield
Excelente mitigación DDoS de referencia con más
El nivel gratuito estándar protege contra los ataques más comunes
Fácil instalación
El nivel avanzado es muy caro.
La protección de AWS Shield es proporcionada por las personas adecuadas en Amazon Web Services. El nivel "Estándar" está disponible para todos los clientes de AWS sin costo adicional. Esto es ideal porque muchas pequeñas empresas optan por alojar sus sitios web con Amazon. AWS Shield Standard está disponible para todos los clientes sin costo adicional. Protege contra ataques más tradicionales de red (Capa 3) y transporte (Capa 4) cuando se usa con los servicios Amazon Cloud Front y Route 53.
Esto debería posponer a todos menos a los hackers más decididos. Sin embargo, su ancho de banda, digamos 15 Gbp / s, siempre estará limitado por el tamaño de su instancia de Amazon, lo que permite a los piratas informáticos llevar a cabo un ataque DoS si tienen suficientes recursos. Peor aún, usted sigue siendo responsable de pagar el tráfico adicional a su instancia.
Para mitigar este problema, Amazon también ofrece AWS Shield Advanced. Una suscripción incluye la protección de costos DDoS, que puede ahorrarle un gran aumento en su factura de uso mensual si es víctima de un ataque. AWS Shield Advanced también puede implementar sus ACL (Listas de control de acceso) en el borde de la red de AWS, brindándole protección contra los ataques más importantes.
Los suscriptores avanzados también se benefician de un DRT (Equipo de respuesta DDoS) de 24 horas, así como de métricas detalladas sobre los ataques en sus instancias. Sin embargo, la tranquilidad que ofrece AWS Shield Advanced tiene un costo. Debe estar preparado para suscribirse por un mínimo de un año por un precio de € 3,000 (€ 2,200) por mes. Esto se suma a los costos de usar la transferencia de datos que puede cubrir en forma de "pago por uso".
![Microsoft Azure]()
Microsoft Azure
4.Microsoft Azure
Protección básica brillante a un nivel premium asequible
La protección estándar es extremadamente fácil de configurar
Mitigación automatizada de amenazas
Protección global contra ataques DDoS para todos los recursos
Al igual que Amazon, Microsoft ofrece la opción de alquilar espacio de servicio a través de su servicio Azure. Todos los miembros tienen protección DDoS básica. Las características incluyen monitoreo de tráfico permanente y mitigación de ataques a la red en tiempo real (Capa 3) para todas las direcciones IP públicas que use. Este es el mismo tipo de protección que se ofrece a los propios servicios en línea de Microsoft y todos los recursos en la red de Azure se pueden usar para absorber los ataques DDoS.
Para las organizaciones que necesitan una protección más sofisticada, Azure también ofrece un nivel "Estándar". Esto ha sido ampliamente elogiado por ser muy fácil de activar, ya que solo requiere unos pocos clics del mouse. Es importante destacar que Azure no requiere que realice ningún cambio en sus aplicaciones, aunque el nivel estándar proporciona protección contra ataques DDoS de aplicación (capa 7) a través del firewall de la aplicación web Application Gateway. Azure Monitor puede mostrarle métricas en tiempo real si se produce un ataque. Estos se mantienen durante 30 días y se pueden exportar para su posterior estudio si lo desea.
Azure comprueba constantemente el tráfico web a sus recursos. Si estos exceden un umbral predefinido, la mitigación de DDoS se inicia automáticamente. Esto incluye la inspección de paquetes para asegurarse de que no estén malformados o falsificados, así como el uso de limitación de velocidad.
La protección estándar es actualmente de € 2,944 (€ 2,204) por mes más cargos por datos de hasta 100 recursos. La protección también se aplica a todos los recursos. En otras palabras, no puede adaptar la mitigación de DDoS a medidas individuales.
![Protección DDoS de Verisign]()
Verisign DDoS Protection
5. การป้องกัน DDoS ของ Verisign / Neustar
Lo mejor de la protección DDoS contra veteranos de seguridad
Fácil de configurar a través de DNS
Centros de limpieza dedicados para proteger contra ataques
Se puede implementar en el sitio
La interfaz lleva tiempo para aprender
Actualización: los servicios de seguridad de Verisign se trasladan a Neustar, pero las características y funcionalidades mencionadas en la revisión se han mantenido relativamente iguales.
Verisign es casi tan antiguo como Internet en sí. Desde 1995, ha pasado de ser una autoridad de certificación simple a ser un jugador importante en la industria de servicios de red.
La protección DDoS de Verisign funciona en la nube. Los usuarios pueden elegir redirigir los intentos de conexión con un simple cambio de la configuración de su Servidor de nombres de dominio (DNS). El tráfico se envía a Verisign para su verificación para evitar ataques a la red. Verisign analiza cuidadosamente todo el tráfico antes de redirigir.
Como Verisign opera dos de los trece servidores de nombres de ruta del mundo, no sorprende que la organización también opere varios "centros de limpieza" dedicados de DDoS. Estos analizan el tráfico y filtran las solicitudes de conexión incorrecta. La infraestructura combinada funciona a casi 2 TB / sy puede bloquear incluso los ataques DDoS más devastadores.
Esto se logra en gran medida a través de Athena, la plataforma de mitigación de amenazas de Verisign. Atenea se divide ampliamente en tres elementos. El "Escudo" filtra los ataques de red (capa 3) y de transporte (capa 4) a través de DPI (Deep Packet Inspection), listas negras y listas blancas y gestión de la reputación del sitio. El "proxy" de Athena inspecciona los encabezados HTTP en busca de tráfico incorrecto durante los intentos iniciales de conexión. Tanto "proxy" como "escudo" son compatibles con el "equilibrador de carga" de Athena que ayuda a prevenir ataques de aplicaciones (capa 7).
El Portal del cliente muestra informes detallados de tráfico y le permite configurar su gestión de amenazas, por ejemplo, creando listas negras de conexión. Para los usuarios que son reacios a implementar todo en la nube, Verisign también ofrece OpenHybrid que se puede instalar en las instalaciones.
Crédito de la imagen: Wikimedia Commons (Antoine Lamielle)
Resumen de las mejores ofertas del día