في أكتوبر 2016 ، تعرض مزود DNS DNS لهجوم DDoS كبير (رفض الخدمة الموزع) من قبل جيش من أجهزة إنترنت الأشياء التي تم اختراقها خصيصًا لهذا الغرض. تم تجاوز أكثر من 14000 نطاق يستخدم خدمات Dyn وأصبح يتعذر الوصول إليه بما في ذلك الأسماء الكبيرة مثل Amazonو HBO و PayPal.
وفقًا لبحث أجرته Cloudflare ، يبلغ متوسط تكلفة فشل البنية التحتية للشركات 100000 دولار (75000 جنيه إسترليني) في الساعة. فكيف يمكنك التأكد من أن منظمتك لا تقع ضحية لهذا النوع من الهجمات. في هذا الدليل ، ستكتشف موفري البنية التحتية الرئيسيين الذين لديهم العضلات الرقمية اللازمة للحماية من الهجمات المصممة لإغراق سعة شبكتك.
ستكتشف أيضًا أي مقدمي الخدمة يمكنهم توفير الحماية ضد هجمات التطبيقات (الطبقة 7) الأكثر تعقيدًا ، والتي يمكن تنفيذها بدون عدد كبير من أجهزة الكمبيوتر المخترقة (تُعرف أحيانًا باسم الروبوتات).
1. درع المشروع
حماية قوية ضد هجمات DDoS من Google ، ولكن ليس الجميع مدعوًا
تسخير البنية الأساسية لشركة Google
إعداد سهل للغاية
متاح فقط لمواقع مختارة
Project Shield هو إنشاء Jigsaw ، الشركة الأم التابعة لشركة Google Alphabet. بدأ التطوير قبل عدة سنوات تحت حكم جورج كونارد في أعقاب الهجمات على مواقع مراقبة الانتخابات والمواقع المتعلقة بحقوق الإنسان في أوكرانيا.
يمكن لـ Project Shield تصفية حركة المرور الخبيثة المحتملة من خلال العمل كوكيل عكسي يقع بين موقع ويب والإنترنت بشكل عام ، وتصفية طلبات الاتصال. إذا بدا أن الاتصال من زائر شرعي ، فإن Project Shield يسمح بطلب الاتصال. إذا تم تحديد طلب اتصال على أنه سيئ ، على سبيل المثال محاولات اتصال متعددة من نفس عنوان IP ، ثم يتم حظره. يجعل هذا النظام تطبيق Project Shield سهلًا للغاية عن طريق تغيير إعدادات DNS الخاصة بالخوادم.
قد يتساءل أي مستخدم قوي للقراءة عن كيفية عمل تصفية حركة المرور عبر وكيل مع SSL. لحسن الحظ ، فكرت Jigsaw في ذلك ووضعت برنامجًا تعليميًا شاملاً للتأكد من أن الاتصالات الآمنة لموقعك تعمل بسلاسة. تتوفر أيضًا العديد من البرامج التعليمية الأخرى في قسم الدعم.
يتوفر Project Shield حاليًا فقط لوسائل الإعلام ومراقبة الانتخابات والمواقع الإلكترونية ذات الصلة بحقوق الإنسان. ينصب التركيز الأساسي أيضًا على مواقع الويب الصغيرة ذات الموارد المحدودة التي لا يمكنها تحمل حلول استضافة باهظة الثمن لحماية نفسها من أجل DDoS. إذا لم تتوافق مؤسستك مع هذه المتطلبات ، فقد تضطر إلى التفكير في حل بديل مثل Cloudflare.
2. Cloudflare
الحماية من هجمات حجب الخدمة الموزعة
رائدة الصناعة في حلول DoS
يشمل المستوى المجاني الحماية الأساسية
حزم الأعمال مكلفة نسبيا
أي شخص استخدم الإنترنت في السنوات القليلة الماضية سيكون على دراية بـ Cloudflare حيث تستخدم العديد من مواقع الويب الرئيسية حمايتها. على الرغم من وجود Cloudflare في الولايات المتحدة ، إلا أنها تحتفظ بأكثر من 180 مركز بيانات حول العالم: بنية أساسية لمنافسة Google. هذا يزيد من فرص مواقعك على الإنترنت.
يمكن لكل مستخدم Cloudflare اختيار تنشيط وضع "أنا تحت الهجوم" والذي يمكن أن يحميك حتى من أكثر هجمات DoS تعقيدًا من خلال تقديم تحدي جافا سكريبت. كمسألة روتينية ، يعمل Cloudflare أيضًا كخادم وكيل عكسي يجلس بين الزائرين ومضيف موقعك لتصفية حركة المرور بنفس الطريقة تمامًا مثل Jigsaw's Project Shield. في مارس 2019 ، قدم Cloudflare Spectrum لـ UDP ، الذي يوفر حماية DDoS والجدار الناري للبروتوكولات غير الموثوق بها.
يجب على الزائرين الذين يقدمون طلبات الاتصال تشغيل مجموعة من الفلاتر المعقدة بما في ذلك سمعة الموقع ، وما إذا كان عنوان IP الخاص بهم مدرجًا في القائمة السوداء وإذا كان رأس HTTP يبدو مريبًا. تتم طباعة طلبات HTTP بأصابعك للحماية من Botnets المعروفة. بصفته عملاق صناعة ، يمكن لـ Cloudflare الاستفادة من موقعه بسهولة من خلال مشاركة معلومات إنتل عبر أكثر من 7 ملايين موقع إلكتروني يديرها.
يقدم Cloudflare حزمة أساسية مجانية تتضمن تخفيف DDoS غير المقيد. بالنسبة لأولئك الذين هم على استعداد للدفع مقابل اشتراك في Cloudflare (تبدأ الأسعار من 200 دولار أو 149 جنيهًا إسترلينيًا في الشهر) ، تتوفر حماية أكثر تقدمًا مثل تحميل شهادة SSL المخصصة.
3. درع AWS
تخفيف DDoS أساسي ممتاز مع المزيد
يحمي المستوى المجاني القياسي ضد معظم الهجمات الشائعة
خطوه سهله
المستوى المتقدم مكلف للغاية
يتم توفير حماية درع AWS من قبل أهل الخير Amazon خدمات الويب. الطبقة "القياسية" متاحة لجميع عملاء AWS بدون رسوم إضافية. هذا مثالي حيث تختار العديد من الشركات الصغيرة استضافة مواقع الويب الخاصة بها Amazon. يتوفر AWS Shield Standard لجميع العملاء دون أي رسوم إضافية. يحمي من هجمات الشبكة (الطبقة 3) والنقل (الطبقة 4) الأكثر شيوعًا عند استخدامها Amazonخدمات Cloud Front و Route 53.
هذا يجب أن يؤجل جميع المتسللين ما عدا الأكثر تصميما. ومع ذلك ، عرض النطاق الترددي الخاص بك على سبيل المثال 15 جيجابايت / ثانية سيظل محدودًا بحجمك Amazon على سبيل المثال جعل من الممكن للمتسللين تنفيذ هجوم DoS إذا كانت لديهم موارد كافية. الأسوأ من ذلك أنك ما زلت مسؤولاً عن الدفع لحركة المرور الإضافية لمثيلك.
للتخفيف من هذا Amazon كما يقدم AWS Shield Advanced. يشمل الاشتراك حماية تكلفة DDoS ، والتي يمكن أن تنقذك من ارتفاع كبير في فاتورة الاستخدام الشهرية إذا كنت ضحية هجوم. يمكن لـ AWS Shield Advanced أيضًا نشر قوائم التحكم في الوصول (ACL) الخاصة بك على حدود شبكة AWS نفسها مما يمنحك الحماية حتى من أكبر الهجمات.
يستفيد المشتركون المتقدمون أيضًا من DRT (فريق استجابة DDoS) على مدار الساعة بالإضافة إلى المقاييس التفصيلية حول أي هجمات على مثيلاتك. ومع ذلك ، فإن العقل الذي يقدمه AWS Shield Advanced باهظ الثمن. يجب أن تكون على استعداد للاشتراك لمدة عام واحد على الأقل بسعر 3000 دولار (2200 جنيه استرليني) في الشهر. هذا بالإضافة إلى تكاليف استخدام نقل البيانات التي يمكنك تغطيتها على أساس "الدفع أثناء التنقل".
4. مايكروسوفت أزور
حماية أساسية رائعة مع طبقة مدفوعة الثمن
الحماية القياسية سهلة الإعداد للغاية
التخفيف الآلي من التهديدات
حماية شاملة ضد هجمات DDoS لجميع الموارد
مثل Amazon، تقدم Microsoft خيار تأجير مساحة الخدمة عبر خدمتهم Azure. يستفيد جميع الأعضاء من حماية DDoS الأساسية. تتضمن الميزات دائمًا مراقبة حركة المرور والتخفيف من هجمات الشبكة (الطبقة 3) في الوقت الفعلي لأي عناوين IP عامة تستخدمها. هذا هو نفس نوع الحماية الممنوحة لخدمات Microsoft الخاصة على الإنترنت ويمكن استخدام الموارد الكاملة لشبكة Azure لامتصاص هجمات DDoS.
بالنسبة للمؤسسات التي تحتاج إلى حماية أكثر تعقيدًا ، يقدم Azure أيضًا مستوى "قياسي". وقد تم الإشادة بهذا على نطاق واسع لأنه سهل للغاية في التمكين ، حيث يتطلب فقط نقرات قليلة من الماوس. لا يتطلب منك Azure بشكل حاسم إجراء أي تغييرات على تطبيقاتك على الرغم من أن المستوى القياسي لا يوفر الحماية ضد هجمات DDoS للتطبيق (الطبقة 7) عبر جدار حماية تطبيق الويب الخاص ببوابة التطبيق. يمكن أن يعرض لك جهاز Azure مقاييس الوقت الفعلي في حالة حدوث هجوم. يتم الاحتفاظ بها لمدة 30 يومًا ويمكن تصديرها لمزيد من الدراسة إذا كنت ترغب في ذلك.
يتحقق Azure باستمرار من حركة بيانات الويب إلى مواردك. إذا تجاوزت هذه العتبات المحددة مسبقًا ، فسيتم بدء تخفيف DDoS تلقائيًا. يشمل ذلك فحص الحزم للتأكد من أنها غير مشوهة أو مخادعة بالإضافة إلى استخدام تحديد المعدل.
تبلغ الحماية القياسية حاليًا 2944 دولارًا (2204 جنيهًا إسترلينيًا) شهريًا بالإضافة إلى رسوم البيانات لما يصل إلى 100 مورد. تنطبق الحماية بالتساوي على جميع الموارد. بمعنى آخر ، لا يمكنك تفصيل تخفيف DDoS للأفراد.
5. حماية DDoS Verisign
الأفضل في حماية DDoS من قدامى المحاربين
سهل الإعداد عبر DNS
مراكز تنظيف مخصصة للحماية من الهجمات
يمكن نشرها في أماكن العمل
تستغرق الواجهة وقتًا لإتقانها
تحديث: يتم نقل خدمات الأمن من Verisign إلى نيوستار، لكن الميزات والوظائف المذكورة في المراجعة ظلت كما هي نسبيًا.
إن Verisign قديم قدم الإنترنت نفسها. منذ عام 1995 ، نمت من مرجع مصدق بسيط إلى لاعب رئيسي في صناعة خدمات الشبكة.
تعمل حماية Verisign DDoS في السحابة. يمكن للمستخدمين اختيار إعادة توجيه محاولات الاتصال بتغيير بسيط في إعدادات DNS (خادم اسم المجال). يتم إرسال حركة المرور إلى Verisign للتحقق منها لمنع هجمات الشبكة. تحليل Verisign لجميع حركة المرور بدقة قبل إعادة التوجيه.
نظرًا لأن Verisign تدير اثنين من 13 خادمًا عالميًا لاسم المسار ، فلا غرابة في أن المنظمة تحتفظ أيضًا بالعديد من "مراكز التنظيف" المخصصة لـ DDoS. هذه تحلل حركة المرور وتصفية طلبات الاتصال السيئة. تصل البنية التحتية المدمجة إلى ما يقرب من 2 تيرابايت / ثانية ويمكن أن تمنع حتى أكثر هجمات DDoS الساحقة.
يتم تحقيق ذلك إلى حد كبير عبر أثينا ، منصة Verisign لتخفيف التهديدات. تنقسم أثينا على نطاق واسع إلى ثلاثة عناصر. تقوم شبكة "الدرع" بتصفية شبكة (الطبقة 3) وهجمات النقل (الطبقة 4) عبر DPI (فحص الحزم العميق) والقوائم السوداء والقوائم البيضاء وإدارة سمعة الموقع. يفحص "وكيل" أثينا رؤوس HTTP بحثًا عن حركة المرور السيئة أثناء محاولات الاتصال الأولية. يتم دعم "الوكيل" و "الدرع" بواسطة "موازن التحميل" الخاص بـ Athena مما يساعد على منع هجمات التطبيق (الطبقة 7).
تعرض بوابة العميل تقارير مفصلة عن حركة المرور وتسمح لك بتكوين إدارة التهديدات الخاصة بك ، على سبيل المثال عن طريق إنشاء قوائم سوداء للاتصال. بالنسبة للمستخدمين الذين يترددون في نشر كل شيء على السحابة ، تقدم Verisign أيضًا OpenHybrid والذي يمكن تثبيته في الموقع.
حقوق الصورة: ويكيميديا كومنز (أنطوان لاميل)