适用于小型企业网站的十大基于云的DDoS保护

本文概述

• Akamai
• Sucuri
• AppTrana
• Netscout
• SiteLock
• Link11
• Cloudflare
• StackPath
• Alibaba
• AWS Shield
• Cloud Armor
• Incapsula

不要让DDoS攻击因声誉和财务损失而中断你的业务运营。使用基于云的拒绝服务保护来防止被黑客入侵。

任何有不良意图的人都可以雇用黑客服务进行有针对性的攻击。恶意软件工具易于访问, 易于使用且有效。不仅大型公司, 网络犯罪分子也在寻找各种规模的弱势受害者, 包括个人博客, 电子商务商店, 中小型企业。

一种攻击特别危险并且越来越普遍。这称为分布式拒绝服务攻击, 简称DDoS。在DDoS攻击中, 一组受损的分布式系统(可能是服务器, 家用计算机, 物联网设备, 以及连接到Internet的任何东西)被用来淹没具有大量请求的目标系统。被攻击的系统变得饱和到足以拒绝工作。

由于洪水来自许多分散的来源, 因此很难识别攻击者或减轻攻击。 DDoS攻击是不可预测的, 一些最新的攻击非常危险。它的范围是800到900 Gbps。

攻击者可以使用多种技术来对你的在线业务进行DDoS。以下是一些流行的。

• UDP片段
• DNS, NTP, UDP, SYN, SSPD, ACK泛洪
• CharGEN攻击
• TCP异常

发生攻击的原因可能很多。首先, 受害者是经过手工挑选的；他们永远不会被随机选择。也许竞争对手想让你倒闭, 或者某人非常不喜欢你发布的内容-任何借口可能足以使某人投入几百美元来攻击你的网站。

你可以实时查看网络攻击。

该怎么办？

如果你拥有一家规模较小的网站的小型企业, 或者经营博客或个人网站, 那么你需要做一些事情以避免成为DDoS攻击的受害者。

一种选择是雇用MSSP(受管安全服务提供商)来处理所有可能的网络威胁。这包括入侵检测, 漏洞扫描, 抗病毒服务以及其他服务之间的防火墙和VPN技术的提供。好的MSSP将使你高枕无忧, 但代价可能很高。如果你涵盖了大多数安全基础, 并且只需要保护站点免受DDoS侵害, 则可以从ISP或托管提供商处租用DDoS保护即服务(DPaaS)。

如果你更喜欢DIY式的解决方案, 则要做的第一件事就是检测和缓解DDoS。要检测DDoS攻击, 你需要监视网站的传入流量, 并寻找可能暗示该过程中发生攻击的任何模式。流量的突然激增可能是一个信号, 但是你需要确定激增是合法用户流量的激增还是DDoS攻击的征兆, 这并不总是一件容易的事。

一旦检测到真正的DDoS攻击, 就可以识别发送非法流量的IP地址, 并在主机提供商或流量过滤设备(例如路由器或防火墙)的帮助下将其阻止。听起来很简单, 对吧？好吧, 如果考虑到典型的DDoS攻击每秒涉及数百万个数据包, 则可以得出结论, DIY选项不可行, 你应该租用价格合理的基于云的DDoS保护服务。

他们如何做事？

一个有效的反DDoS解决方案必须处理以下任务：检测, 转移, 过滤和分析。

检测意味着识别可能预示DDoS攻击的流量偏差。一个有效的反DDoS解决方案应该能够尽快识别攻击, 避免误报。

转移意味着将流量重新路由出去, 以将其丢弃或进行过滤。通过过滤, 我们意味着淘汰DDoS流​​量, 将其识别为恶意。一个有效的反DDoS解决方案将在不影响合法用户体验的情况下做到这一点。

最后, 分析是查看流量日志以收集有关攻击的信息, 以识别攻击者并增强将来的检测活动。

当你需要比较抗DDoS解决方案时, 网络容量是要考虑的重要因素。它以Gbps(千兆位每秒)或Tbps(每秒兆位字节)为单位进行度量, 表示保护可以承受的攻击强度。基于云的解决方案通常提供每秒兆兆字节数量级的网络容量。这远远超过任何网站可能需要的。

服务水平的其他重要指标是转发速率和缓解时间。转发速率代表解决方案处理数据包的能力, 以每秒数百万个数据包(Mpps)度量。攻击通常达到300-500 Gbps, 某些攻击可能会扩展到1 Tbps。抗DDoS解决方案的处理能力需要达到最高才能有效。

缓解时间根据解决方案提供商用来检测攻击的方法而有所不同。具有抢占式检测功能的始终在线解决方案应该能够提供几乎瞬时的缓解效果。但是这方面需要在实际条件下进行现场测试。

显然, 所有这些考虑都必须权衡成本。让我们来看看一些可用的基于云的最佳DDoS检测和保护解决方案。

DDoS保护解决方案

• Akamai
• Sucuri
• AppTrana
• Netscout
• SiteLock
• Link11
• Cloudflare
• StackPath
• Alibaba
• AWS Shield
• Cloud Armor
• Incapsula

Akamai

Kona DDoS Defender是Akamai为阻止DDoS攻击威胁而提供的基于云的解决方案的名称。它将安全运营中心(SOC)的不间断服务与Akamai的智能平台相结合, 该智能平台具有很高的可扩展性, 即使在遭受攻击的情况下, 也可以确保网站的连续运行。

Akamai的智能平台已在全球范围内分发, 能够处理全球总Web流量的15％至30％。它提供了必要的可扩展性, 甚至可以应对最大的DDoS攻击。发生攻击时, Kona DDoS Defender会自动偏转SYN或UDP泛洪并吸收网络外围的HTTP GET和POST泛洪, 从而阻止它们到达核心应用程序。

Sucuri

Sucuri提供了DDoS缓解服务, 该服务可自动检测并阻止非法请求和流量。 Sucuri服务由基于云的网络支持, 该网络能够缓解对Web应用程序或大型网络的攻击。借助机器学习技术并通过其全球网络中的数据进行关联, Sucuri能够保护网站免受尚未发现的安全威胁。

DDoS缓解服务是多合一网站安全平台的一部分, 该平台包括恶意软件清除, 黑客清除, 黑名单监控, 防火墙等。它的三个计划提供从基础到企业的不同级别的服务, 价格从每年199.99美元到每年499.99美元不等。

AppTrana

AppTrana提供即时保护, 防止发现的漏洞, 并确保全天候保护DDoS和新兴安全威胁。

• 基础设施保护(第3层和第4层)。
• 网站保护(第7层)
• 安全专家根据站点上发现的警报和漏洞风险, 通过24×7全天候监控和不受限制的自定义规则更新, 实现全面托管的DDoS保护, 以确保网站的可用性。

AppTrana的Global Threat Intelligence平台可确保持续不断, 准确且最新地防御最新威胁。

AppTrana Advanced和Premium计划中提供AppTrana DDoS保护。你可以从试用计划开始使用它, 以享受应用程序扫描, Web应用程序防火墙和CDN的服务。入职时间为几分钟, 过渡期间的停机时间为零。

Netscout

通过其Arbor威胁缓解系统(TMS)和可用性保护系统(APS), Netscout提供了与其Arbor Sightline解决方案配合使用的产品套件, 可从客户网络中以外科手术方式清除多达140 Tbps的DDoS攻击流量, 而不会造成中断。核心网络服务。它可与IPv4或IPv6基础结构一起使用, 并且能够通过移动应用程序阻止DDoS攻击, 从而保护移动网络的性能和可用性。

Arbor APS提供了许多部署选项, 包括本地设备, 虚拟化解决方案和托管服务。该解决方案提供了主动的缓解功能, 以借助其自己的Atlas基础架构来监视已知威胁和新出现的威胁, 以免影响应用程序的可用性, 从而监视所有Internet通信量。

SiteLock

为了提供针对DDoS攻击的全面保护, SiteLock保护网站最重要的器官：基础结构, DNS和Web应用程序。它还提供了高级访问者身份识别(使人与恶意机器人区分开来)和详细的攻击报告, 因此当你的站点抵抗攻击时, 你不会被蒙住眼睛。

借助超过1 Tbps的网络容量, SiteLock可以自动检测DDoS尝试并相应地部署其防御措施, 从而能够阻止高达16 Mbps的定向恶意流量。它提供了简单的设置程序, 并有专家协助24/7/365和价格计划, 起价为每个站点每年149.99美元。

Link11

Link11是一家领先的IT安全提供商, 致力于为网站和IT基础架构提供DDoS保护。基于云的保护解决方案通过高度复杂的人工智能使用保证了随时可用。

Link11的Web和基础设施DDoS防护通过其高度智能的解决方案, 可以在全球服务器网络达到目标之前过滤掉恶意流量。这就是Link11如何保证市场上最快的时间来缓解0-10秒内每个向量的问题。甚至未知的攻击媒介也会立即被识别并缓解。

除了在攻击持续时间方面提供无限的保护外, 该解决方案还完全自动化运行并作为始终在线的服务运行, 从而确保避免人为错误。此外, 该公司在欧洲设有自己的24/7服务和热线, 并为新客户提供简单而快速的设置。这样, 即使公司受到攻击, Link11仍可确保快速, 轻松地获得帮助。

Link11安全运营中心(LSOC)定期发布有关DDoS威胁领域中的新风险和趋势的报告。

Cloudflare

Cloudflare始终在线的DDoS保护解决方案基于其不断学习的全球网络的智能。这个称为Anycast的网络横跨190多个城市, 所有安全服务堆栈都在每个存在点运行。该基础架构允许Cloudflare提供分层的安全方法, 该方法将许多DDoS功能(3/4/7层, DNS放大/反射, SMURF, ACK等)整合到一个服务中。

从用户的角度来看, 可以通过直观的界面控制DDoS解决方案, 该界面使你只需单击几下即可快速保护在线属性。无论攻击的规模如何, Cloudflare的定价计划都涵盖了无限的缓解措施, 不会对峰值造成任何损失, 也不会产生任何额外或隐藏的成本。

StackPath

StackPath使用的DDoS缓解技术涵盖了所有攻击方法：UDP, SYN和HTTP泛洪, 以及所有层：第3/4层(网络)和第7层(应用程序)。 65 Tbps的总网络容量保证了StackPath全局网络甚至可以缓解最大的DDoS攻击, 从而最大程度地减少了对受攻击在线服务的影响。

StackPath客户门户提供实时数据和见解, 使用户能够分析攻击者的作案手法并即时创建策略。高级用户还可以通过控制面板调整DDoS阈值设置, 以使保护适应特定需求。

DDoS保护是StackPath提供的一系列边缘服务的一部分, 其中包括边缘计算, 边缘交付和边缘监视。

Alibaba

阿里巴巴的Anti-DDoS Pro可以缓解高达10 Tbps的高容量攻击, 并支持所有协议TCP / UDP / HTTP / HTTPS。

你不仅可以使用Anti-DDoS来保护阿里巴巴托管的内容, 还可以保护AWS, Azure, Google Cloud等托管的内容。如果你的应用程序托管在中国, 则很少有CBSP可以提供安全保护, 而阿里巴巴是其中之一。

这不仅是要减轻风险, 而且阿里巴巴反DDoS解决方案可以帮助跟踪攻击源。收费基于使用情况, 你可以完全控制自己的业务策略, 以降低成本。

AWS Shield

亚马逊专门为AWS上托管的应用程序提供了称为AWS Shield的DDoS保护服务。该保护服务提供了永远在线的检测和在线自动缓解功能, 无需AWS支持即可使用。

亚马逊通过两种服务计划提供AWS Shield：标准服务和高级服务。 AWS Shield Standard免费提供给所有AWS客户。它可以防御最常见的DDoS攻击, 该攻击通常发生在网络堆栈的第3层或第4层。 Advanced版本提供了对复杂的大规模DDoS攻击的检测和缓解, 以及实时可视化和用于Web应用程序的防火墙AWS WAF。 AWS Shield Advanced还提供对AWS DDoS响应团队(DRT)的不间断访问, 并防止DDoS高峰。

Cloud Armor

如果你要在Google Cloud上托管应用程序, 请尝试使用Cloud Armor。唯一的限制是, 它仅适用于Google Cloud HTTP负载均衡器。

你将受益于Google的经验, 以保护其Gmail, YouTube, 搜索等服务。CloudArmor的一些优势包括：

• 防范基础架构和应用
• 创建自定义规则
• IP和基于地理位置的访问控制
• 强大的Stackdriver登录

Incapsula

Incapsula提供全面的保护, 以缓解来自第3、4和7层的任何类型的DDoS攻击。

• TCP SYN + ACK, FIN, RESET, ACK, ACK + PSH, 片段
• UDP协议
• Slowloris
• 欺骗
• ICMP
• IGCP
• HTTP, 连接, DNS泛洪
• 蛮力
• NXDomain
• 死亡之声
• 以及更多…

它可以始终在线或按需提供, 以检测和缓解所有攻击。封装网络由44个数据中心组成, 容量超过6 Tbps。如果你受到攻击并需要紧急支持以在几分钟内将风险降到最低, 则可以联系”攻击中”团队。

期待什么

如果你附近的所有房屋都有警报, 那么你的房屋也应该有警报, 否则它将成为防盗的首选目标。你的网站或Web应用程序也是如此：你不希望它成为没有DDoS保护的少数几个网站之一, 否则它可能很快就会受到攻击。如果你希望你的在线业务持续存在并长期生存, 则针对DDoS的解决方案是一项合理且必要的投资。