Не дозвольте атакам типу DDoS спричинити перерву у вашому бізнесі, ведучи до репутаційних і фінансових втрат. Застосуйте хмарний захист від відмови в обслуговуванні, щоб забезпечити безпеку від зловмисних дій.
Будь-яка особа з поганими намірами може замовити хакерські послуги для цілеспрямованої атаки. Інструменти шкідливого програмного забезпечення є доступними, простими у використанні та ефективними. Кіберзлочинці націлюються не тільки на великі компанії, а й на вразливі цілі будь-якого масштабу, включаючи персональні блоги, інтернет-магазини, малі та середні підприємства.
Один із видів атак є особливо небезпечним і стає все більш поширеним. Це розподілена атака на відмову в обслуговуванні, або скорочено DDoS. Під час DDoS-атаки, група скомпрометованих розподілених систем, таких як сервери, домашні комп’ютери, пристрої Інтернету речей – будь-що, що підключено до Інтернету – використовується для перевантаження цільової системи потоком запитів. Це перевантаження доводить атаковану систему до такого стану, що вона відмовляється працювати.
Оскільки цей потік надходить із багатьох різних джерел, важко ідентифікувати зловмисника або вжити заходів для нейтралізації атаки. DDoS-атаки непередбачувані, а деякі з останніх були особливо потужними, досягаючи від 800 до 900 Гбіт/с.
Зловмисники можуть використовувати різноманітні методи DDoS-атак проти вашого онлайн-бізнесу. Ось деякі з найпопулярніших:
- Фрагментація UDP
- Флуд DNS, NTP, UDP, SYN, SSPD, ACK
- Атака CharGEN
- TCP-аномалія
Причини для нападу можуть бути різними. Жертви завжди обираються навмисно, а не випадково. Конкурент може прагнути витіснити вас з ринку, або комусь може не подобатися контент, який ви публікуєте. Будь-яке виправдання може спонукати когось інвестувати невелику суму грошей, щоб атакувати ваш веб-сайт.
Ви можете спостерігати за кібератаками в режимі реального часу.
Як запобігти DDoS-атакам?
Якщо ви є власником невеликого бізнесу з невеликим веб-сайтом, ведете блог або персональний веб-сайт, вам необхідно вжити заходів, щоб захистити себе від DDoS-атак.
Одним із варіантів є найняття MSSP (Managed Security Service Provider) для управління всіма можливими кіберзагрозами. Це включає виявлення вторгнень, сканування вразливостей, антивірусний захист, забезпечення брандмауерами та VPN, серед іншого. Надійний MSSP забезпечить вам спокій, але, як правило, за високу ціну. Якщо у вас є основні заходи безпеки, і вам потрібен лише захист від DDoS, ви можете скористатися послугами захисту від DDoS як послугу (DPaaS) від вашого інтернет-провайдера або хостинг-провайдера.
Якщо ви віддаєте перевагу більш традиційному підходу, першим кроком є впровадження системи виявлення та нейтралізації DDoS-атак. Щоб ідентифікувати DDoS-атаку, необхідно відстежувати вхідний трафік на ваш веб-сайт, шукаючи будь-які закономірності, які можуть свідчити про атаку. Раптовий сплеск трафіку може бути сигналом, але необхідно визначити, чи це легітимний трафік користувачів, чи це ознака DDoS-атаки. Це не завжди є легким завданням.
Після виявлення DDoS-атаки ви можете визначити IP-адреси, з яких надходить незаконний трафік, та заблокувати їх за допомогою хостинг-провайдера або пристрою для фільтрації трафіку, такого як маршрутизатор чи брандмауер. Звучить просто, правда?
Але, враховуючи, що типова DDoS-атака передбачає мільйони пакетів даних за секунду, стає зрозуміло, що самостійний підхід є нежиттєздатним, і вам варто розглянути можливість найняття доступної хмарної служби захисту від DDoS.
Як працюють служби захисту від DDoS?
Ефективне рішення для захисту від DDoS має включати такі етапи: виявлення, перенаправлення, фільтрація та аналіз.
Виявлення означає ідентифікацію відхилень у трафіку, які можуть вказувати на DDoS-атаку. Ефективна система має виявляти атаку якомога швидше, уникаючи помилкових спрацювань.
Перенаправлення означає переспрямування трафіку для його відхилення або фільтрації. Фільтрація передбачає відсіювання DDoS-трафіку, ідентифікуючи його як шкідливий. Ефективне рішення захисту від DDoS має робити це, не впливаючи на роботу ваших легітимних користувачів.
Аналіз передбачає вивчення журналів трафіку для збору даних про атаки, як для ідентифікації зловмисників, так і для покращення майбутніх заходів виявлення.
При порівнянні різних рішень для захисту від DDoS, важливим фактором є потужність мережі. Вона вимірюється в Гбіт/с (гігабітах за секунду) або Тбіт/с (терабітах за секунду) і показує, яку інтенсивність атаки може витримати захист. Хмарне рішення зазвичай пропонує пропускну здатність мережі на рівні терабітів за секунду, що є значно більше, ніж може знадобитися будь-якому веб-сайту.
Іншими важливими показниками є швидкість пересилання та час на нейтралізацію. Швидкість пересилання відображає здатність рішення обробляти пакети даних та вимірюється в мільйонах пакетів за секунду (Mpps). Атаки зазвичай досягають 300-500 Гбіт/с, а деякі можуть досягати 1 Тбіт/с. Щоб бути ефективним, потужність обробки рішення для захисту від DDoS повинна перевищувати цей рівень.
Час нейтралізації залежить від методу, який постачальник рішення використовує для виявлення атаки. Рішення з постійним превентивним виявленням має забезпечити майже миттєву нейтралізацію, але цей аспект необхідно перевіряти на практиці у реальних умовах.
Звичайно, всі ці міркування потрібно зважити з точки зору вартості. Розглянемо деякі з найкращих хмарних рішень для виявлення та захисту від DDoS.
Акамай
Kona DDoS Defender – це хмарне рішення, яке Akamai пропонує для зупинки DDoS-атак. Воно поєднує в собі безперервне обслуговування Центру безпеки (SOC) з інтелектуальною платформою Akamai, яка забезпечує високу масштабованість і гарантує безперебійну роботу веб-сайту, навіть під час атаки.
Інтелектуальна платформа Akamai розподілена по всьому світу, що дозволяє обробляти від 15% до 30% загального світового веб-трафіку. Вона забезпечує необхідну масштабованість для протистояння навіть наймасштабнішим DDoS-атакам. Коли відбувається атака, Kona DDoS Defender автоматично відхиляє потоки SYN або UDP і поглинає потоки HTTP GET і POST на межі мережі, не даючи їм досягти основних програм.
Лабораторії G-Core
Глобальний сервіс захисту від DDoS від G-Core Labs є потужним інструментом для захисту вашого сайту, сервера та додатків від складних DDoS-атак. Він забезпечує захист на трьох рівнях: мережевому (L3), транспортному (L4) і прикладному (L7).
Унікальна технологія інтелектуальної фільтрації трафіку в режимі реального часу дозволяє G-Core Labs DDoS Security одночасно аналізувати статистичні, сигнатурні, технічні та поведінкові фактори. Це дозволяє рішенню точно виявляти та відключати лише шкідливі сеанси, замість блокування IP-адрес.
Ви отримаєте захист від ботів у реальному часі, що запобігає шахрайству з рекламою, парсингу та крадіжці персональних даних. Вони також захистять вас від спроб експлуатації вразливостей і ручного злому вашого сайту без використання будь-яких сторонніх SDK або зміни коду програми. Ця хмарна платформа має системи фільтрації трафіку, розташовані в Європі, Північній Америці, Південній Америці, Азії та Австралії, та пропонує щонайменше 160 Гбіт/с трафіку для кожного вузла, при цьому загальна пропускна здатність фільтрації становить понад 1,5 Тбіт/с.
G-Core Labs пропонує такі інструменти безпеки, як технічний аналіз кожного запиту, аналіз ресурсів в реальному часі, розпізнавання поведінкових факторів, перевірка запитів тощо. Він також підтримує HTTPS, ніколи не розкриває ваші SSL-сертифікати та пропонує рівень хибних спрацювань менше 0,01%. Компанія гарантує SLA на рівні 99,9%. Ви також отримаєте балансування навантаження та цілодобову технічну підтримку.
AppTrana
AppTrana забезпечує миттєвий захист від виявлених вразливостей та цілодобовий захист від DDoS та нових загроз безпеці.
- Захист інфраструктури (рівень 3 і 4).
- Захист веб-сайту (рівень 7).
- Повністю керований захист від DDoS з цілодобовим моніторингом і необмеженими оновленнями спеціальних правил експертами з безпеки в режимі реального часу на основі сповіщень і ризиків вразливості, виявлених на місці, для забезпечення доступності веб-сайту.
Платформа AppTrana Global Threat Intelligence забезпечує постійний, точний і актуальний захист від новітніх загроз.
Захист від DDoS AppTrana доступний в планах AppTrana Advanced і Premium. Ви можете почати з пробного плану, щоб скористатися послугами сканування програм, брандмауера веб-додатків і CDN. Підключення відбувається за кілька хвилин, без перерв під час переходу.
Link11
Link11 є провідним постачальником ІТ-безпеки, що спеціалізується на захисті веб-сайтів та ІТ-інфраструктур від DDoS-атак. Хмарне рішення захисту гарантує постійну доступність завдяки використанню штучного інтелекту.
Компанія пропонує два рішення проти атак розподіленої відмови в обслуговуванні (DDoS) із запатентованим 360-градусним захистом для захисту критичної мережевої інфраструктури або від атак веб-додатків.
Атаки нейтралізуються з нульовим часом реагування для відомих векторів і менше ніж за 10 секунд для невідомих. Рішення забезпечує необмежений захист з точки зору тривалості атаки, працюючи повністю автоматично та як постійна служба для усунення помилок людини.
Крім того, Link11 має власну міжнародну службу підтримки та цілодобову гарячу лінію для швидкої допомоги клієнтам – навіть в екстрених ситуаціях. Центр безпеки Link11 (LSOC) регулярно опубліковує звіти щодо нових ризиків і тенденцій в області DDoS-загроз.
Sucuri
Sucuri пропонує послугу з нейтралізації DDoS-атак, яка автоматично виявляє та блокує незаконні запити та трафік. Сервіс Sucuri підтримується хмарною мережею, здатною нейтралізувати атаки на веб-додатки або великі мережі. За допомогою технології машинного навчання та аналізу даних у своїй глобальній мережі, Sucuri може захистити веб-сайт від загроз безпеці, які ще не виявлені.
Служба нейтралізації DDoS є частиною комплексної платформи безпеки веб-сайтів, яка включає видалення шкідливого програмного забезпечення, відновлення після злому, моніторинг чорного списку та брандмауер тощо. Їхні три плани пропонують різні рівні обслуговування, від базового до корпоративного, з цінами від $199,99 до $499,99 на рік.
Netscout
Зі своєю системою нейтралізації загроз Arbor (TMS) і системою захисту доступності (APS), Netscout пропонує набір продуктів, що працює спільно з рішенням Arbor Sightline Solution для видалення до 140 Тбіт/с трафіку DDoS-атак з мережі клієнта, без переривання основних мережевих служб. Він працює з інфраструктурою IPv4 або IPv6 і здатний зупиняти DDoS-атаки через мобільні додатки, захищаючи продуктивність і доступність мобільних мереж.
Arbor APS пропонує різні варіанти розгортання, включаючи локальний пристрій, віртуалізоване рішення та керовану послугу. Завдяки власній інфраструктурі Atlas, яка відстежує третину всього інтернет-трафіку, це рішення забезпечує проактивні можливості нейтралізації, щоб зупинити відомі та нові загрози, перш ніж вони зможуть вплинути на доступність додатків.
Cloudflare
Cloudflare пропонує рішення постійного захисту від DDoS-атак, що базується на інтелекті глобальної мережі, яка постійно навчається. Ця мережа під назвою Anycast охоплює понад 190 міст, де в кожній точці присутності працює повний набір служб безпеки. Така інфраструктура дозволяє Cloudflare забезпечувати багаторівневий підхід до безпеки, що об’єднує багато можливостей DDoS (рівень 3/4/7, посилення/відображення DNS, SMURF, ACK і т.д.) в одній службі.
З точки зору користувача, рішенням для захисту від DDoS можна керувати за допомогою інтуїтивно зрозумілого інтерфейсу, що дозволяє швидко захистити онлайн-активи кількома кліками. Цінові плани Cloudflare передбачають необмежену нейтралізацію, незалежно від масштабу атаки, без штрафів за перевантаження і без додаткових або прихованих витрат.
StackPath
Технології нейтралізації DDoS, які використовує StackPath, охоплюють усі методи атак: UDP, SYN і HTTP-флуди, а також усі рівні: рівні 3/4 (мережа) і рівень 7 (додаток). Загальна пропускна здатність мережі у 65 Тбіт/с гарантує, що глобальна мережа StackPath може нейтралізувати навіть найбільші DDoS-атаки, мінімізуючи вплив на атаковані онлайн-сервіси.
Клієнтський портал StackPath надає дані в режимі реального часу та розуміння, що дозволяє користувачеві аналізувати дії зловмисників і створювати політики в режимі реального часу. Досвідчені користувачі також можуть налаштовувати порогові параметри DDoS через панель керування, щоб адаптувати захист до конкретних потреб.
Захист від DDoS є частиною широкого спектру граничних послуг, які пропонує StackPath, включаючи граничні обчислення, граничну доставку та граничний моніторинг.
Alibaba
Anti-DDoS Pro від Alibaba може нейтралізувати великомасштабні атаки до 10 Тбіт/с і підтримує всі протоколи TCP/UDP/HTTP/HTTPS.
Ви можете використовувати Anti-DDoS для захисту не тільки ресурсів, розміщених на Alibaba, а й на AWS, Azure, Google Cloud тощо. Якщо ваш додаток розміщено в Китаї, то небагато постачальників хмарних послуг можуть запропонувати захист безпеки, і Alibaba є одним з них.
Рішення Alibaba Anti-DDoS не тільки зменшує ризики, а й може допомогти відстежити джерело атак. Вартість залежить від використання, і ви маєте повний контроль, щоб налаштувати стратегії для свого бізнесу та зменшити витрати.
AWS Shield
Amazon пропонує послугу захисту від DDoS під назвою AWS Shield, спеціально для додатків, розміщених на AWS. Послуга захисту забезпечує постійне виявлення та автоматичне нейтралізування в режимі онлайн, яке можна використовувати без підтримки AWS.
Amazon пропонує AWS Shield у двох планах: стандартному та розширеному. AWS Shield Standard доступний для всіх клієнтів AWS без додаткової плати. Він захищає від найпоширеніших DDoS-атак, які зазвичай відбуваються на рівнях 3 або 4 мережевого стека. Розширена версія пропонує виявлення та нейтралізацію складних великомасштабних DDoS-атак, а також візуалізацію в режимі реального часу та AWS WAF, брандмауер для веб-додатків. AWS Shield Advanced також забезпечує прямий доступ до AWS DDoS Response Team (DRT) і захист від пікових навантажень під час DDoS.
Cloud Armor
Якщо ви розміщуєте додаток у Google Cloud, спробуйте Cloud Armor. Єдиним обмеженням є те, що він працює лише з Google Cloud HTTP(s) load balancer.
Ви отримаєте переваги від досвіду Google, щоб захистити такі сервіси, як Gmail, YouTube, Пошук тощо. Деякі з переваг Cloud Armor:
- Захист від інфраструктури та програм.
- Створення спеціальних правил.
- Контроль доступу на основі IP та Geo.
- Потужне журналювання на Stackdriver.
Incapsula
Incapsula пропонує комплексний захист для нейтралізації всіх типів DDoS-атак з рівнів 3, 4 і 7.
- TCP SYN+ACK, FIN, RESET, ACK, ACK+PSH, фрагмент
- UDP
- Slowloris
- Спуфінг
- ICMP
- IGCP
- HTTP, підключення, DNS-флуд
- Груба сила
- NXDomain
- Пінг смерті
- І багато іншого…
Рішення доступне як постійне, так і на вимогу, для виявлення та нейтралізації всіх атак. Мережа Incapsula складається з 44 центрів обробки даних із пропускною здатністю понад 6 Тбіт/с. Якщо вас атакують і вам потрібна термінова допомога для мінімізації ризику за лічені хвилини, ви можете звернутися до команди “Під атакою“.
Заключні слова 👨🏫
Якщо у вашому районі всі будинки мають сигналізацію, то і ваш також повинен мати її, інакше він стане кращою ціллю для грабіжників. Те ж саме стосується вашого веб-сайту або веб-додатку: не хочете, щоб він був одним з небагатьох без захисту від DDoS, інакше його можуть скоро атакувати. Рішення проти DDoS є розумною та необхідною інвестицією, якщо ви хочете, щоб ваш онлайн-бізнес залишався активним та працював протягом довгого часу.