Bazaprogram.ru

Новости из мира ПК
5 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Защита от атак

7 лучших сервисов защиты от DDoS-атак для повышения безопасности

Нельзя допускать, чтобы DDoS-атаки угрожали вашим деловым операциям потерей репутации и финансовыми убытками. Воспользуйтесь облачными средствами защиты от DoS для предотвращения взлома.

По последним данным Incapsula, DDoS обходится бизнесу в 40000 долларов в час.

Следующие инструменты помогут вам рассчитать потери, вызванные DDoS:

  • Cost of a DDoS attack от Akamai
  • DDoS downtime cost calculator от Incapsula
  • Calculate your DDoS attack cost от Neustar

DDoS-атаки непредсказуемы, а в последнее время еще и ужасно опасные. Мощность может быть в пределах от 300 до 500 Gbps.

Взломщики прибегают к разным методикам, чтобы нанести удар по вашему бизнесу, в том числе:

  • фрагментация UDP-пакетов;
  • DNS, NTP, UDP, SYN, SSPD, ACK-флуд;
  • CharGEN-атака;
  • аномалии TCP.

Так что нужно защищаться не только от DDoS-атак на седьмом уровне, а обеспечивать защиту на всех уровнях.

Согласно последнему отчету о безопасности AKAMAI, большинство DDoS-атак производятся из Китая.

Давайте рассмотрим облачные решения для малого и среднего бизнеса, с помощью которых можно подключить защиту от DDoS-атак за считанные минуты.

Incapsula

Incapsula предлагает комплексную защиту и ограждает от любых видов DDoS-атак на 3, 4 и 7 уровнях, таких как:

  • TCP SYN+ACK, FIN, RESET, ACK, ACK+PSH, фрагментация;
  • UDP;
  • Slowloris;
  • спуфинг;
  • ICMP;
  • IGCP;
  • HTTP-флуд, запуск большого числа одновременных соединений, DNS-флуд;
  • брутфорс;
  • NXDomain;
  • Ping of death;
  • и другие…

Защита может осуществляться в постоянном режиме или включаться вручную для поиска и устранения угроз. Сеть Incapsula состоит из 32 дата-центров с общей пропускной способностью более 3 Tbps.

Доступна пробная версия Incapsula пакетов Business и Enterprise, в которые входит защита от DDoS-атак, а также глобальные CDN, SSL, WAF и не только.

Советую попробовать Incapsula для защиты вашего бизнеса на всех уровнях (веб-сайт, инфраструктура и DNS).

Если вы стали жертвой атаки и нуждаетесь в экстренной поддержке, можно связаться с группой поддержки Under Attack.

AKAMAI

AKAMAI занимает ведущее положение на рынке в отношении услуг безопасности и CDN. Совсем недавно AKAMAI поставила рекорд, отразив атаку мощностью 620 Gbps.

KONA DDoS Defender от AKAMAI ограждает от DoS/DDoS-атак на периферию сети.

KONA создана на основе интеллектуальной платформы AKAMAI для защиты веб-сайтов, а реагирует на атаки глобальный центр безопасности, работающий круглосуточно.

Это облачное решение предохраняет от всех известных видов атак, в том числе с шифрованием трафика. AKAMAI широко представлен по всему миру: всего у AKAMAI более 1300 площадок в более чем 100 странах.

AKAMAI защищает инфраструктуру всего дата-центра при помощи Prolexic Routed или Prolexic Connect.

Cloudflare

Cloudflare предоставляет базовую защиту от DDoS-атак в пакетах FREE и PRO. Однако для расширенной защиты от DDoS-атак (на уровнях 3, 4 и 7) нужно покупать пакет Business или Enterprise.

Стоимость услуг Cloudflare фиксированная, а это значит, что с какой бы масштабной атакой вы не столкнулись, платить вы будете одинаковую сумму каждый месяц.

Cloudflare доверяют такие известные компании как Nasdaq, DigitalOcean, Cisco, Salesforce, Udacity и др.

Сеть CloudFlare доступна в 102 дата-центрах общей пропускной способностью более 10 Tbps, то есть она справится с любыми видами DDoS-атак, в том числе:

  • на уровнях 3, 4 и 7;
  • DNS amplification;
  • DNS reflection;
  • SMURF;
  • ACK.

Если вы подвергаетесь DDoS-атаке, то можно обратиться в круглосуточную горячую линию Cloudflare.

SUCURI

SUCURI — специализированное облачное решение для защиты самых разных сайтов, в том числе WordPress, Joomla, Drupal, Magento, Microsoft.Net и др.

Защита от DDoS-атак включена в пакет антивируса и файрвола. В случае если вам нужна комплексная защита сайта, то в таком случае вам подойдет Website Antivirus, который оберегает от угроз в сети, в том числе от DDoS-атак, а также включает следующие услуги:

  • выявление и удаление вредоносного кода;
  • контроль безопасности;
  • оптимизация скорости;
  • защита от брутфорса;
  • защита от уязвимости нулевого дня;
  • защита от нежелательных ботов.

SUCURI выявляет и блокирует атаки 3,4 и 7 уровня. Стоимость обслуживания начинается от 19,88 долларов в месяц.

Alibaba

Anti-DDoS Pro от Alibaba поможет в защите от DDoS-атак. Anti-DDoS Pro отражает мощные атаки до 2 Tbps и поддерживает протоколы TCP/UDP/HTTP/HTTPS.

Anti-DDoS можно использовать не только в случае размещения на Alibaba, но и для AWS, Azure, Google Cloud и пр.

Myra DDoS protection — полностью автоматизированное решение для веб-сайтов, DNS-серверов, веб-приложений и инфраструктуры. Оно полностью совместимо со всеми видами CMS и системами электронной торговли.

MYRA размещается в Германии, так что данные обрабатываются в соответствии с федеральным законом Германии о защите данных.

Читать еще:  Как убрать защиту файлов в яндекс

AWS Shield Advanced

Инструмент для предупреждения DDoS-атак Shield от AWS доступен на всех приложениях AWS бесплатно.

Тем не менее, если вы хотите обеспечить сеть расширенной защитой, защитить транспортный и прикладной уровень, то можно подписаться на Shield Advanced.

У Shield Advanced есть целый ряд преимуществ по сравнению со стандартной версией Shield, таких как:

  • выявление – проверка сетевого потока и отслеживание трафика на прикладном уровне;
  • защита от атак – передовая автоматическая защита от крупномасштабных атак, включающая блокировку вредоносного трафика;
  • поддержка – круглосуточная команда поддержки при DDoS-атаках;
  • анализ – проведение анализа после атаки.

Чтобы узнать больше о AWS Shield, прочитайте FAQ.

Описанные выше облачные решения подойдут блоггерам, электронным магазинам, малому и среднему бизнесу. В случае, если вам требуется корпоративная защита или защита дата-центра, то рекомендую обратить внимание на следующие сервисы:

Подберите себе хостинг или виртуальный сервер и не попадайте под DDoS-атаки.

  • Скопировать ссылку
  • Facebook
  • Twitter
  • ВКонтакте
  • Telegram
  • Pocket

Похожие публикации

  • 5 апреля 2017 в 12:28

10 приложений для защиты устройств на Andro > +3 36,7k 98 18

Чем опасны сокращенные ссылки и как от этого защититься

6 бесплатных CDN для ускорения и улучшения безопасности вашего сайта

AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Комментарии 7

Про Qrator — ценник у них конечно кусается и личный кабинет «убогий», но дело своё делают на 100%. Основное их достоинство — при срабатывании защиты нет капчи. Для клиента, который пришёл на сайт — прозрачно работает. Конверсия, соответственно, не снижается.

По нашим наблюдениям, когда работали с CloudFlare и были атаки, с включением защиты в режим under attack mode — конверсия падала от 6 до 15%. Так как клиенты не дожидались завершения JavaScript challenge и закрывали сайт. Атаки, которые приходят, после перехода на Qrator мы замечаем только благодаря внутреннему мониторингу. Они никак не отражаются на конверсии и доступности.

  • Очень убогий интерфейс личного кабинета, который не позволяет сделать практически ничего, кроме наблюдения за графиками(тоже, мягко говоря, не очень приятного для глаза). После богатого на аналитику, возможность управления почти всеми настройками и правилами у CloudFlare, у Qrator прям грусть и печаль.
  • В отличии от CloudFlare, WAF не входит в пакет защиты и его надо покупать отдельно у другой, видимо аффилированной, компании Wallarm и стоит он дополнительно 10 тыс. Выглядит тоже убого, нет возможности что-то настроить или чем-то управлять. Тоже, по-сути, только просмотр графиков
  • Отдельная цена за трафик. В абонентскую плату включено только 3 Мбит/с, каждый мбит сверх этого стоит + 700 рублей и + ещё 200 рублей за Мбит ещё, если подключили WAF от Wallarm.
  • Цена. У CloudFlare вы приблизительно за 11400(200$) получаете защиту без ограничений по трафику атаки + WAF. У Qrator более-менее нормальную защиту вы получите за 46 тыс.(полоса защиты ограничена 10 Гбит/с) + вам надо будет заплатить ещё 10 тыс. в месяц за WAF + плата 700 р. за каждый мбит превышения
  • CDN — у CloudFlare это собственно специализация и идёт по умолчанию. У Qrator этого конечно нет, из «совместимых» CDN провайдеров заявлен только Ngenix.

P.S. У Incapsula все достоинства убиваются одной фразой — «Support Email 8X5» и это на всех тарифах, кроме Enterprise!

https://www.ovh.com (Хоcтинг/выделенные сервера/виртуальные сервера) — постоянно включенный антиддос на всю инфраструктуру. Они просто размазали стоимость защиты на всех клиентов (плюс пара центов/доллар за услугу).

https://www.online.net/ примерно также

В свое время из-за ддоса ушли с хетцнера на ovh и отключили внешний антиддос сервис. Атаки пытались быть еще месяц, потом прекратились. Сайт во время атак не испытывал заметных проблем.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Как защититься от DDoS-атак

Как предотвратить DDoS-атаку

Главная цель хакеров — это сделать атакуемый ресурс недоступным для пользователя. Для этого на него направляется огромное количество ложных запросов, которые сервер не в состоянии обработать, в результате ресурс «падает». Это можно сравнить с тем, как неподготовленному человеку под видом гантелей на привычные ему 3 кг внезапно дали такие же по виду, но по 9 кг каждая. Разумеется, он не справится. То же происходит с сайтом — и вместо привычной страницы пользователь видит «заглушку» с сообщением об ошибке.

Для генерации зловредного трафика, который по сути и является DDoS-атакой, чаще всего используется большое количество устройств, имеющих доступ к Интернет, зараженных специальным кодом. Эти устройства (ПК, смартфоны, «умные вещи», серверы) объединяются в ботнеты, которые посылают запросы на адрес жертвы. Иногда источником мусорного трафика могут быть соцсети, где размещена ссылка на сайт-жертву. Помимо прочего, в Интернете есть сервисы-стрессеры, с помощью которых любой желающий может устроить ddos-атаку.

Читать еще:  Как удалить защиту protect

Как выглядит DDoS-атака на графике с интерфейса, через который проходит атакующий трафик

Способы разнообразны, но любой ведет к потери легитимного трафика, иными словами — пользователей, поэтому часто используется как инструмент недобросовестной конкурентной борьбы. От DDoS-атаки часто страдают интернет-магазины, онлайн-игры, системы электронных платежей.

Поэтому вопрос, как остановить ddos-атаку, волнует все большее число людей. Если речь идет о сайте, то кажется логичным обратиться за помощью к хостинг-провайдеру, где он размещен. Однако многим хостерам, которые предоставляют недорогие услуги, проще отключить проблемный ресурс, чем решать проблему. Почему?

Оператор связи рассматривает переполнение внешних стыков паразитным трафиком как аварийную ситуацию и угрозу целостности его сети, поэтому и принимается решение о полной блокировке входящего трафика атакуемого ресурса (и чем меньше владелец ресурса платит за хостинг, тем быстрее принимается такое решение).

Что же делать? Решение есть — это как самостоятельная, так и профессиональная защита от DDoS, в том числе — сервисы специализированных компаний. Однако сразу предупредим, что универсальных мер защиты от DDoS-атак не существует, т.к. хакеры постоянно находят новые уязвимости и способы обмануть системы защиты Однако есть простые эффективные приемы, которые должен знать сотрудник, занимающийся администрированием Вашего сайта. Они помогут организовать защиту от DDoS-атак простейших видов.

Скрипты и фаерволы

Допустим, что на условный сайт n.ru идет ддос-атака. По логам (истории) видно, что большое количество GET-запросов идет на главную страницу. В этом случае можно воспользоваться редиректом javascript, например:

После этого легитимные пользователи, у которых не отключен javascript в браузере, перенаправляются на index.php.

Но тут возникает проблема – боты поисковых систем (Яндекса, Google) не оборудованы js-интерпретаторами и не будут перенаправлены, как и атакующие. Это негативно скажется на позициях сайта в выдаче. Чтобы этого избежать, можно написать небольшой скрипт, который будет считать количество коннектов с определенного IP адреса, и банить его. Определить бота можно, например, проверив его host.

Существует бесплатный скрипт DDoS Deflate — это своего рода сигнализация, которая использует команду «netstat» для обнаружения флуда (одного из видов DDoS), после чего блокирует подозрительные IP-адреса вредителей с помощью межсетевого экрана iptables (либо apf).

Как работает межсетовой экран

Настройки параметров Apache

Чтобы предотвратить DDoS, можно еще изменить настройки параметров Apache:

  1. KeepAliveTimeout – нужно снизить ее значение или полностью выключить эту директиву;
  2. TimeOut – установить как можно меньшее значение для данной директивы (веб-сервера, который подвержен DDoS-атаке).
  3. Директивы LimitRequestBody, LimitRequestFieldSize, LimitRequestFields, LimitRequestLine, LimitXMLRequestBody должны быть настроены на ограничение потребления ресурсов, вызванных запросами клиентов.

Самый радикальный способ остановить DDoS-атаку — это блокировать все запросы из страны, откуда начал идти «мусорный» трафик. Однако это может доставить большие неудобства реальным пользователям из этих стран, т.к. им придется воспользоваться proxy для обхода блокировки.

И тут мы подходим к вопросу, почему вышеперечисленные способы не могут в полной мере обеспечить защиту от DDoS-атак. Дело в том, что бывает очень сложно отличить легитимные запросы от зловредных. Например, нашумевший червь Mirai заставлял видеорегистраторы посылать запросы по протоколу TCP, которые выглядели как легитимные, из-за чего не сразу удалось остановить DDoS-атаку. На сегодняшний день существует более 37 типов DDoS-атак, каждый из которых имеет свои особенности. Кроме того, велика вероятность отсеять вместе с зловредными запросами часть легитимных, т.е. потерять реальных пользователей.

Способы защиты от DDoS-атак

Если Вы хотите максимально обезопасить свой ресурс, то стоит обратить внимание на специализированные сервисы по защите от ddos-атак, которые предоставляют свои услуги удаленно.

Чтобы разобраться самостоятельно, потребуется масса времени, поэтому мы решили написать небольшой гид по современным видам защиты от DDoS-атак.

Условно всё многообразие можно поделить на две большие группы: сервисы, которые подключаются удалённо, и «железные» решения, требующие установки оборудования на стороне клиента.

В первую группу входят следующие виды защиты от распределенных атак:

1. reverse proxy (обратное проксирование). Провайдер защиты выдает ресурсу, который надо защитить, новый IP-адрес — его необходимо внести в А-запись. После изменения А-записи входящий трафик будет идти сначала на очистку в сеть провайдера по новому IP-адресу, а после этого, уже очищенный, поступать на реальный адрес. При этом ресурс может оставаться на прежнем хостинге. Это самая доступная защита от DDoS: подходит сайтам различной посещаемости, подключение и настройка занимает не более 20 минут, требует минимальных знаний от вебмастера.

2. защищенный хостинг (или выделенный сервер). Такую услугу anti ddos предлагают хостеры, серверы которых уже подключены к системе защиты (это могут быть собственные фильтрующие станции либо услуга от компании-партнера). Это не менее популярная и выгодная защита от ddos атак, ее плюсы: один общий счёт за все услуги, все настройки выполняют специалисты хостинг-провайдера, перенос сайта с незащищенного стороннего хостинга осуществляется, зачастую, бесплатно. При создании нового сайта его можно сразу размещать на защищенном от ддос-атаки хостинге или выделенном сервере.

Читать еще:  Защита от вредоносного по

Чем различается обычный хостинг и выделенный сервер? В первом случае сайт размещен на одном сервере со множеством других сайтов, это можно сравнить с общежитием. А при аренде выделенного сервера на нем размещается только один сайт, без соседей. Разумеется, выделенный сервер стоит дороже, зато нет опасности пострадать из-за DDoS-атаки на соседа.

3. защищенный IP-транзит по виртуальному туннелю. Эта услуга подходит для проектов с большими объемами трафика, для защиты от мусорного трафика сразу всей автономной системы. Это дорогостоящая услуга, которой пользуются ЦОДы, хостинг-провайдеры, регистраторы доменных имен, операторы связи, которые не имеют собственных фильтрующих станций.

Довольно часто в интернете провайдеры связи пишут, что предоставляют подключение к CDN для защиты от DDoS. Однако стоит учесть, что CDN — это сеть доставки контента, которая позволяет ускорить передачу данных за счет их кэширования, НО не их очистки! Это разные технологии, которые могут сочетаться, но не заменяют друг друга. Поэтому такие предложения — это либо лукавство, либо техническая неграмотность тех, кто предлагает сервис. CDN — это не защита от DDoS!

Ко второй группе средств защиты от DDoS-атак относятся разнообразные «железные» решения, предполагающие покупку/аренду фильтрующих устройств либо подключение к чужой сети фильтров по физическому кабелю. Это дорогостоящие варианты, которые имеют как достоинства, так и недостатки. Главный плюс собственного фильтрующего устройства — это то, что данные не надо передавать на обработку сторонней организации, а значит, можно не переживать за сохранность информации. Это важный аспект для компаний, чья работа связана с персональными данными и финансами.

Минусы: высокая стоимость, сложность и долгое время монтажа (в случае прокладки кабеля), необходимость иметь в штате специалиста для настройки, невозможность оперативного расширения канала связи.

Чтобы исправить последнее, поставщики оборудования разработали гибридную схему: трафик свыше лимита, который уже не может обработать физический фильтр, передается на очистку в «облако». Однако недавно хакеры нашли уязвимость в этой системе, связанную с тем, что на передачу данных в «облако» требуется определенное время, и разработали алгоритм DDoS-атаки, который выводит гибридную защиту из строя. Такие атаки называют Pulse Wave, прочитать о них можно здесь.

Таим образом, собственные фильтры — это не самая выгодная защита от DDoS-атак, ведь она требует значительных затрат ресурсов и доступна только крупным корпорациям, которые могут себе позволить высококвалифицированных работников для обслуживания такого оборудования. Поэтому многие выбирают поставщика услуг защиты на аутсорсе.Большинство таких компаний имеют собственные или взятые в аренду центры очистки трафика, оборудованные специальными фильтрующими устройствами.

Какой сервис по защите от DDoS лучше выбрать. Это зависит от параметров защищаемого ресурса. Для сайтов чаще всего подходит проксирование или аренда защищенного сервера, для автономной системы или хостинг-провайдера — виртуальный туннель, а операторы связи предпочитают прокладывать физические каналы.

В любом случае, провайдер защиты от DDoS должен иметь хорошие каналы связи для приема большого объема трафика с возможностью «горячего» расширения, т.к. сила кибератак растет чуть ли не в геометрической прогрессии и уже были зафиксированы DDoS-атаки в 1 Tbps. Поэтому при общении с представителями компании обязательно надо узнать про их технические мощности.

Большим плюсом будет, если фильтрующие узлы компании расположены в различных странах, т.к. это позволяет обрабатывать трафик максимально близко к его источнику и свести задержки передачи к минимум. Кроме того, распределение трафика на несколько точек позволяет снизить общую нагрузку на фильтрующую сеть и повышает стабильность ее работы.

Кроме того, если Вы не имеете в штате подкованных опытных айтишников, которые сами всё настроят, то Вам понадобится помощь техподдержки. Большим плюсом будет, если саппорт компании, предоставляющей сервис по защите от DDoS, работает 24/7 и говорит на одном языке с заказчиком.

Разумеется, все эти услуги не бесплатны, однако их подключение — единственный вариант превентивной борьбы с DDoS. Иначе Вам придется бороться уже с последствиями, которые для отдельных сегментов бизнеса могут быть критичны. И в любом случае, стоимость такой защиты от DDoS гораздо ниже, чем покупка и обслуживание собственного фильтрующего оборудования.

Ссылка на основную публикацию
Adblock
detector