Nedovolte, aby útok DDoS přerušil vaši obchodní činnost kvůli ztrátě dobré pověsti a finanční ztrátě. Použijte cloudovou ochranu proti odmítnutí služby, abyste zabránili napadení.
Kdokoli se špatnými úmysly si může najmout hackerskou službu pro cílený útok. Malwarové nástroje jsou dostupné, snadno použitelné a efektivní. Nejen velké společnosti, ale i kyberzločinci hledají zranitelné oběti jakékoli velikosti, včetně osobních blogů, e-shopů, malých a středních podniků.
Jeden typ útoku je obzvláště nebezpečný a stále častější. Říká se tomu distribuovaný útok odmítnutí služby, zkráceně DDoS. Při DDoS útoku je použita sada kompromitovaných, distribuovaných systémů – mohou to být servery, domácí počítače, zařízení internetu věcí, cokoliv připojeného k internetu – k zahlcení cíleného systému záplavou požadavků až do který se napadený systém nasytí natolik, že odmítne pracovat.
Vzhledem k tomu, že povodeň pochází z mnoha rozptýlených zdrojů, je obtížné identifikovat útočníka nebo zmírnit útok. DDoS útoky jsou nepředvídatelné a některé z nejnovějších útoků jsou směšně nebezpečné. Pohyboval se v rozmezí 800 až 900 Gbps.
Útočníci mohou použít mnoho technik k DDoS vašemu online obchodu. Některé z populárních jsou následující.
- Fragment UDP
- DNS, NTP, UDP, SYN, SSPD, ACK záplava
- Útok CharGEN
- TCP anomálie
Důvodů pro útok může být mnoho. Za prvé, oběti jsou ručně vybírány; nikdy nejsou vybírány náhodně. Možná vás chce konkurence vyhodit z podnikání, nebo se možná někomu nelíbí obsah, který zveřejňujete – jakákoliv výmluva může někomu stačit, aby investoval několik stovek dolarů do útoku na váš web.
Můžete se podívat na kybernetické útoky v reálném čase.
Table of Contents
Jak zabránit DDoS útokům?
Pokud vlastníte malou firmu se stejně malým webem nebo provozujete blog či osobní web, pak musíte něco udělat, abyste se nestali obětí DDoS útoku.
Jednou z možností je najmout si MSP (Managed Security Service Provider), který se postará o všechny možné kybernetické hrozby. To zahrnuje mimo jiné detekci narušení, skenování zranitelnosti, antivirové služby a poskytování technologií firewall a VPN. Dobrý MSSP vám dá klid, ale pravděpodobně za vysokou cenu. V případě, že máte pokrytu většinu bezpečnostních základen a potřebujete pouze chránit svůj web před DDoS, můžete si najmout ochranu DDoS jako službu (DPaaS) od svého ISP nebo poskytovatele hostingu.
Pokud upřednostňujete více DIY řešení, první věcí, kterou je třeba implementovat, je detekce a zmírnění DDoS. Chcete-li detekovat útok DDoS, musíte sledovat příchozí provoz na svůj web a hledat jakýkoli vzor, který by mohl naznačovat útok v procesu. Náhlý nárůst provozu může být signálem, ale musíte určit, zda je nárůst nárůstem legitimního uživatelského provozu nebo zda je příznakem útoku DDoS, a to není vždy snadný úkol.
Jakmile zjistíte skutečný útok DDoS, můžete identifikovat IP adresy odesílající nelegitimní provoz a zablokovat je pomocí poskytovatele hostingu nebo zařízení pro filtrování provozu, jako je router nebo firewall. Zní to jednoduše, že?
Pokud vezmete v úvahu, že typický útok DDoS zahrnuje mnoho milionů datových paketů za sekundu, můžete dojít k závěru, že možnost DIY není životaschopná a měli byste si najmout dostupnou cloudovou službu ochrany DDoS.
Jak fungují služby ochrany DDoS?
Efektivní anti-DDoS řešení se musí postarat o následující úkoly: detekci, odklon, filtrování a analýzu.
Detekce znamená identifikaci odchylek dopravního toku, které by mohly předpovídat DDoS útok. Účinné anti-DDoS řešení by mělo být schopno rozpoznat útok co nejdříve a vyhnout se falešným poplachům.
Odklon znamená přesměrovat provoz pryč, buď jej zahodit, nebo filtrovat. Filtrováním máme na mysli vyřadit provoz DDoS a identifikovat jej jako škodlivý. Efektivní anti-DDoS řešení to udělá, aniž by to ovlivnilo zkušenost vašich legitimních uživatelů.
A konečně, analýza je kontrola protokolů provozu za účelem shromažďování informací o útocích, a to jak k identifikaci útočníka, tak ke zlepšení budoucích detekčních aktivit.
Když potřebujete porovnat anti-DDoS řešení, je důležitým faktorem, který je třeba vzít v úvahu, kapacita sítě. Měří se v Gbps (gigabitech za sekundu) nebo Tbps (terabitech za sekundu) a udává, jakou intenzitu útoku může ochrana odolat. Cloudové řešení obecně nabízí kapacitu sítě v řádu terabitů za sekundu. To je mnohem více, než může vyžadovat jakýkoli web.
Dalšími důležitými měřítky úrovně služeb jsou sazby za předávání a doba do zmírnění. Rychlost předávání představuje kapacitu řešení zpracovávat datové pakety a měří se v milionech paketů za sekundu (Mpps). Útoky běžně dosahují 300–500 Gb/s a některé se mohou rozšířit až na 1 Tb/s. Aby byla kapacita zpracování anti-DDoS řešení účinná, musí ji převyšovat.
Doba do zmírnění se liší v závislosti na metodě, kterou poskytovatel řešení používá k detekci útoku. Vždy zapnuté řešení s preemptivní detekcí by mělo být schopno nabídnout téměř okamžité zmírnění. Tento aspekt je však třeba vyzkoušet v terénu v reálných podmínkách.
Je zřejmé, že všechny tyto úvahy musí být porovnány s náklady. Pojďme se podívat na některá z nejlepších dostupných cloudových řešení pro detekci a ochranu DDoS.
Akamai
Kona DDoS Defender je název cloudového řešení Akamai nabízí zastavení hrozby DDoS útoku. Kombinuje nepřetržitou službu Security Operations Center (SOC) s Intelligent Platform společnosti Akamai, která nabízí vysokou škálovatelnost a zaručuje nepřetržitý provoz webu i v případě útoku.
Inteligentní platforma Akamai je distribuována po celém světě a poskytuje schopnost zvládnout 15 % až 30 % celkového celosvětového webového provozu. Nabízí nezbytnou škálovatelnost, aby čelil i tomu největšímu DDoS útoku. Když dojde k útoku, Kona DDoS Defender automaticky odkloní záplavy SYN nebo UDP a pohltí záplavy HTTP GET a POST na okraji sítě, čímž jim zabrání dostat se k hlavním aplikacím.
G-Core Labs
Globální služba ochrany DDoS od G-Core Labs je výkonný k ochraně vašeho webu, serveru a aplikací před pokročilými DDoS útoky. Poskytuje ochranu ve třech vrstvách – síťová vrstva (L3), transportní vrstva (L4) a aplikační vrstva (L7).
Jedinečná technologie inteligentního filtrování provozu v reálném čase umožňuje ochraně G-Core Labs DDoS analyzovat statistické, signaturní, technické a behaviorální faktory najednou. To umožňuje řešení přesně detekovat a přerušit pouze škodlivé relace namísto blokování IP adres.
Získáte ochranu botů v reálném čase, abyste zabránili podvodům s reklamami, analýze a krádeži osobních údajů. Budou vás také chránit před pokusy o zneužití zranitelnosti a ručním hackováním vašeho webu bez použití sad SDK třetích stran nebo úpravy kódu aplikace. Tato cloudová platforma má systémy filtrování provozu nastavené v Evropě, Severní Americe, Jižní Americe, Asii a Austrálii a nabízí minimálně 160 Gbps provozu pro každý uzel, celková efektivní šířka pásma filtrování je 1,5+ Tbps.
G-Core Labs nabízí bezpečnostní nástroje, jako je technická analýza pro každý dotaz, analýza zdrojů v reálném čase, rozpoznávání faktorů chování, ověřování dotazů a další. Podporuje také HTTPS a nikdy nezveřejňuje vaše certifikáty SSL a nabízí falešně pozitivní sazby nižší než 0,01 %. Společnost poskytuje SLA na úrovni 99,9 %. Získáte také vyrovnávání zátěže a nepřetržitou technickou podporu.
AppTrana
AppTrana poskytuje okamžitou ochranu proti zjištěným zranitelnostem a zajišťuje nepřetržitou ochranu proti DDoS a nově vznikajícím bezpečnostním hrozbám.
- Ochrana infrastruktury (vrstva 3 a 4).
- Ochrana webových stránek (vrstva 7)
- Plně spravovaná ochrana DDoS s 24×7 monitorováním a neomezenými aktualizacemi vlastních pravidel prováděnými bezpečnostními experty v reálném čase na základě výstrah a rizik zranitelnosti nalezených na místě, aby byla zajištěna dostupnost webu.
Platforma Global Threat Intelligence společnosti AppTrana zajišťuje, že ochrana je nepřetržitě zapnutá, přesná a aktuální s obranou proti nejnovějším hrozbám.
Ochrana AppTrana DDoS je k dispozici v plánech AppTrana Advanced a Premium. Můžete začít se zkušebním plánem a využívat služeb skenování aplikací, brány firewall webových aplikací a CDN. Přihlášení proběhne během několika minut, bez prostojů během přechodu.
Odkaz11
Odkaz11 je přední poskytovatel IT bezpečnosti zaměřený na DDoS ochranu pro webové stránky a IT infrastruktury. Řešení ochrany na bázi cloudu zaručuje dostupnost za všech okolností díky sofistikovanému využití umělé inteligence.
Společnost nabízí dvě řešení najednou proti útokům distribuovaného odmítnutí služby (DDoS) s patentovanou 360stupňovou ochranou, která buď chrání kritickou síťovou infrastrukturu, nebo se brání útokům webových aplikací.
Útoky jsou potlačeny s nulovým časem do zmírnění u známých vektorů a za méně než 10 sekund u neznámých vektorů. Řešení nejenže poskytuje neomezenou ochranu z hlediska doby trvání útoku, ale také běží plně automaticky a jako permanentní služba pro eliminaci lidských chyb.
Link11 navíc provozuje vlastní mezinárodní službu a nepřetržitou horkou linku, aby zákazníkům poskytla jednoduché a rychlé nastavení – a to i v případě nouze. Link11 Security Operation Center (LSOC) pravidelně zveřejněné zprávy související s novými riziky a trendy v oblasti hrozeb DDoS.
Sucuri
Sucuri nabízí službu zmírnění DDoS, která automaticky detekuje a blokuje nelegitimní požadavky a provoz. Služba Sucuri je podporována cloudovou sítí schopnou zmírňovat útoky proti webovým aplikacím nebo velkým sítím. S pomocí technologie strojového učení a korelací dat v rámci své globální sítě dokáže Sucuri ochránit web před dosud neobjevenými bezpečnostními hrozbami.
Služba zmírnění DDoS je součástí platformy pro zabezpečení webových stránek typu vše v jednom, která mimo jiné zahrnuje odstranění malwaru, vyčištění hacků, monitorování černé listiny a firewall. Jeho tři plány nabízejí různé úrovně služeb, od základních po podnikové, a jejich ceny se pohybují od 199,99 USD za rok do 499,99 USD za rok.
Netscout
Prostřednictvím svého Arbor Threat Mitigation System (TMS) a Availability Protection System (APS), Netscout nabízí sadu produktů, která funguje ve spojení se svým řešením Arbor Sightline a chirurgicky odstraňuje až 140 Tbps DDoS útoků ze sítě zákazníka, aniž by došlo k přerušení základních síťových služeb. Pracuje s infrastrukturou IPv4 nebo IPv6 a je schopen zastavit útoky DDoS prostřednictvím mobilních aplikací, čímž chrání výkon a dostupnost mobilních sítí.
Arbor APS nabízí mnoho možností nasazení, včetně on-premise zařízení, virtualizovaného řešení a spravované služby. Díky vlastní infrastruktuře Atlas, která hlídá ⅓ veškerého internetového provozu, poskytuje řešení proaktivní zmírňování, které zastaví známé a vznikající hrozby dříve, než mohou ovlivnit dostupnost aplikací.
mračna
mračnaVždy zapnuté řešení ochrany DDoS je založeno na inteligenci jeho neustále se učící globální sítě. Tato síť s názvem Anycast pokrývá více než 190 měst, přičemž všechny bezpečnostní služby běží na každém místě přítomnosti. Tato infrastruktura umožňuje Cloudflare poskytovat vrstvený bezpečnostní přístup, který konsoliduje mnoho funkcí DDoS (vrstva 3/4/7, zesílení/odraz DNS, SMURF, ACK atd.) do jediné služby.
Z pohledu uživatele lze DDoS řešení ovládat prostřednictvím intuitivního rozhraní, které vám umožní rychle zabezpečit online vlastnosti pomocí několika kliknutí. Cenové plány Cloudflare pokrývají neomezené zmírňování bez ohledu na velikost útoku, bez sankcí za špičky a bez dalších nebo skrytých nákladů.
StackPath
Technologie zmírnění DDoS používané společností StackPath pokrývají všechny metody útoku: záplavy UDP, SYN a HTTP a všechny vrstvy: vrstvy 3/4 (síť) a vrstva 7 (aplikace). Celková kapacita sítě 65 Tbps zaručuje, že globální síť StackPath dokáže zmírnit i ty největší DDoS útoky a minimalizovat dopad na napadené online služby.
Zákaznický portál StackPath poskytuje data a statistiky v reálném čase, což umožňuje uživateli analyzovat modus operandi útočníků a vytvářet zásady za běhu. Pokročilí uživatelé mohou také upravit nastavení prahových hodnot DDoS prostřednictvím ovládacího panelu a přizpůsobit ochranu konkrétním potřebám.
Ochrana DDoS je součástí širokého portfolia okrajových služeb nabízených StackPath, které zahrnují edge computing, edge delivery a edge monitoring.
Alibaba
Anti-DDoS Pro od Alibaba dokáže zmírnit velkoobjemové útoky až do rychlosti 10 Tbps a podporuje všechny protokoly TCP/UDP/HTTP/HTTPS.
Anti-DDoS můžete použít k ochraně nejen hostované v Alibabě, ale také hostované na AWS, Azure, Google Cloud atd. Pokud je vaše aplikace hostována v Číně, pak existuje jen velmi málo CBSP, které mohou nabídnout ochranu zabezpečení, a Alibaba je jedním z nich.
Nejde jen o zmírnění rizika, ale řešení Alibaba Anti-DDoS může pomoci sledovat zdroj útoků. Poplatky jsou založeny na využití a vy máte plnou kontrolu nad přizpůsobením strategií pro vaši firmu, abyste snížili náklady.
AWS štít
Amazon nabízí službu ochrany DDoS tzv AWS štít, konkrétně pro aplikace hostované na AWS. Služba ochrany poskytuje vždy zapnutou detekci a online automatické zmírnění, které lze použít bez nutnosti podpory AWS.
Amazon nabízí AWS Shield ve dvou plánech služeb: Standard a Advanced. AWS Shield Standard je k dispozici všem zákazníkům AWS bez dalších nákladů. Chrání před nejběžnějšími DDoS útoky, které se obecně odehrávají ve vrstvách 3 nebo 4 síťového zásobníku. Pokročilá verze nabízí detekci a zmírnění sofistikovaných rozsáhlých DDoS útoků spolu s vizualizací v reálném čase a AWS WAF, firewallem pro webové aplikace. AWS Shield Advanced také nabízí nepřetržitý přístup k týmu AWS DDoS Response Team (DRT) a ochranu proti špičkám DDoS.
Cloud Armor
Pokud hostujete aplikaci na Google Cloud, zkuste to Cloud Armor. Jediným omezením je, že funguje pouze s Google Cloud HTTP(s) load balancer.0
Budete těžit ze zkušeností Google k ochraně jejich služeb, jako je Gmail, YouTube, Vyhledávání atd. Mezi výhody Cloud Armor patří:
- Ochrana před infrastrukturou a aplikací
- Vytvořte vlastní pravidla
- IP a geografické řízení přístupu
- Výkonné protokolování na Stackdriver
Incapsula
Incapsula nabízí komplexní ochranu pro zmírnění všech typů DDoS útoků z vrstev 3, 4 a 7.
- TCP SYN+ACK, FIN, RESET, ACK, ACK+PSH, Fragment
- UDP
- Slowloris
- Spoofing
- ICMP
- IGCP
- HTTP, připojení, záplava DNS
- Hrubou silou
- Doména NX
- Ping smrti
- A mnohem víc…
Je k dispozici jako vždy nebo na vyžádání pro detekci a zmírnění všech útoků. Síť Incapsula se skládá ze 44 datových center s kapacitou přes 6 Tbps. Pokud jste pod útokem a potřebujete nouzovou podporu k minimalizaci rizika během několika minut, můžete kontaktovat „Pod útokem“ tým.
Závěrečná slova 👨🏫
Pokud všechny domy ve vaší čtvrti mají alarm, pak by měl mít i ten váš, jinak by to byl preferovaný cíl pro zloděje. Totéž platí pro váš web nebo webovou aplikaci: nechcete, aby byly jedny z mála bez DDoS ochrany, jinak by mohly být brzy napadeny. Řešení proti DDoS je rozumnou a nezbytnou investicí, pokud chcete, aby vaše online podnikání zůstalo naživu a fungovalo po dlouhou dobu.