Подборка: 12 сервисов для защиты от DDoS-атак

    image

    По статистике, около 33% компаний попадают под DDoS-атаки. Предсказать атаку невозможно, а некоторые из них могут быть действительно мощными и достигать 300-500 Гб/с. Для того чтобы обезопасить себя от DDoS-атак можно воспользоваться услугами специализированных сервисов. Не все владельцы сайтов знают, куда бежать, если попал под атаку — так что я решил собрать несколько вариантов в одном топике.

    Примечание: при подготовке к посту использовались англоязычные материалы и публикации на Хабре

    Cloudflare


    Один из самых известных защитных сервисов. При использовании тарифов FREE и PRO можно рассчитывать на базовую защиту от DDoS-атак. Для более надёжной защиты от атак уровней 3, 4 и 7 нужно подключить бизнес или корпоративный аккаунт.

    В Cloudflare фиксированная оплата, то есть независимо от того сколько и каких уровней будут атаки, клиент платит одну и ту же сумму. Среди клиентов этого сервиса такие крупные компании, как Nasdaq, DigitalOcean, Cisco, Salesforce и Udacity.

    Сеть Cloudflare представлена в 102 датацентрах с пропускной способностью более 10 Тбит/с и способна устранять любые атаки, а также отражать DNS и Smurf-атаки. У сервиса также есть круглосуточная служба экстренной помощи, куда можно обратиться во время атаки.

    Incapsula


    Этот сервис предлагает комплексную защиту от атак различных типов. Сервис может работать постоянно или по запросу и обнаруживать любые атаки. Сеть Incapsula состоит из 32 дата-центров с пропускной способностью в 3 Тбит/с. У Incapsula есть пробная версия для бизнеса c SSL протоколом, CDN и WAF, которая защитит от DDoS-атак.

    На случай, если атака уже совершена и счёт идёт на минуты, можно воспользоваться сервисом экстренной помощи Under Attaсk.

    Akamai


    Этот сервис один из лидеров в сфере обеспечения безопасности и CDN. По заявоениям руководства Akamai, сервис может справиться с атакой в 1,3 терабита в секунду.

    Этот сервис построен на интеллектуальной платформе Akamai и оказывает поддержку круглосуточно. Защитить сайты можно от всех известных атак, включая зашифрованный трафик. У Akamai 1300 сетевых адресов более чем в 100 странах.

    Qrator


    Один из наиболее известных российских ресурсов по борьбе с DDoS, ведет блог на Хабре. Особенностью работы системы является «прозрачность» для легитимных пользователей — их она выявляется с помощью алгоритмов умной фильтрации, не заставляя вводить капчу или другим образом подтверждать свою «легитимность».

    Кроме того, даже при необходимости отражения атаки на уровне приложений (7 уровень модели OSI) не требуется тонкой настройки продукта — при обнаружении атаки система перейдет в нужный режим автоматически.

    Для подключения защиты Qrator нужно изменить A-запись сайта. К недостаткам можно отнести достаточно высокую стоимость использования продукта, но компания предоставляет SLA (если уровень услуги не обеспечен, платить не обязательно) и бесплатный тестовый период в семь суток.

    AWS Shield Advanced


    Сервис Shield предназначен для защиты приложений, работающих на платформе AWS. Он бесплатный, однако, для продвинутой защиты стоит перейти на тариф Shield Advanced. В продвинутую версию добавлена проверка сетевого потока и мониторинг трафика прикладного уровня, защита от большего количества атак, блокировка нежелательного трафика, анализ после атаки и круглосуточное время работы.

    Все эти службы защиты от DDoS-атак предназначены для блоггеров, электронной коммерции, малого и среднего бизнеса. Для бизнеса более крупных масштабов существуют другие сервисы, с более высоким уровнем защиты и большим функционалом. Вот некоторые из них: Сети ARBOR, Neustar, Rackspace, Akamai, F5 Silverline и Radware.

    King Servers Anti DDoS


    Еще один российский проект со своим блогом на Хабре. Поскольку King Servers — это хостинг-провайдер, то и защитный инструмент компании «заточен» под нужды пользователей хостинга. Защита предоставляется в двух вариантах — при аренде оборудования в определенном дата-центре оно сразу попадает в зону фильтрации (защищенный хостинг). Если площадка в этой зоне по каким-то причинам не подходит, остается вариант удаленной защиты, при которой размещать оборудование в дата-центре компании не нужно.

    Компания дает гарантию безопасности от SYN Flood, UDP/ICMP Flood, HTTP/HTTPS-атак, фильтрацию грязного трафика до 1 ТБит/с — чистый трафик выделяется и направляется на сайт пользователя. Пользователям не нужно самим заниматься настройками, эту задачу берет на себя круглосуточная служба поддержки, которая отрабатывает и заявки на кастомизацию сервиса.

    BeeThink Anti-DDoS Guardian


    Этот инструмент защищает серверы Windows от большинства DoS и DDoS-атак: SYN, IP flood, TCP flood, UDP flood, ICMP flood, HTTP-DDoS, атак 7 уровня и многих других.

    Сервис BeeThink совместим с Windows 10, Windows 8, Windows 7, Windows 2016, Windows 2012, Windows 2008, Windows 2003, Windows 2000, Windows XP и Vista.

    Помимо защиты от DDoS-атак сервис в режиме реального времени проводит мониторинг сетевых операций, поддерживает разные форматы IP-адресов, поддерживает black и white листы, ищет удалённые IP-адреса и информацию о их владельцах. Базовый тариф стоит $99,95.

    Sucuri


    Этот сервис предоставляет защиту для любых сайтов: WordPress, Joomla, Drupal, Magento, Microsoft.Net и других.

    Sucuri предоставляет антивирус и межсетевой экран для сайтов, в которые включена защита от DDoS. Также сервис обнаруживает и удаляет вредоносные программы, повышает производительность сайтов, защищает от брутфорс-атак и защищает от ботов. Минимальная стоимость месячного тарифа — $19,88.

    Cloudbric


    Этот инструмент работает с сайтами на всех платформах. Он очень удобен в использовании, имеет интуитивно понятный интерфейс, а его настройки занимают три минуты — нужно просто изменить настройки DNS. Информация об уровне защиты отображается на рабочей панели, что позволяет быстро выявить и устранить угрозу.

    Разработчики гарантируют защиту от всех кибератак. Среди клиентов сервиса такие крупные компании, как Samsung, ING и eBay.

    Стоимость использования зависит от объёма трафика, так за 10 Гб придётся заплатить $29, а за 100 Гб $149. Если объём трафика не превышает 4 Гб, сервисом можно пользоваться бесплатно.

    Alibaba Anti-DDoS


    Сервис китайского гиганта интернет-коммерции поможет справиться с атаками до 2 Тбит/с и поддерживает все протоколы: TCP, UDP, HTTP, HTTPS.

    Сервис можно использовать не только для защиты сайтов, расположенных на хостинге Alibaba, но и размещённых на AWS, Azure, Google Cloud и других.

    Также Anti-DDos Pro работает круглосуточно и в случае проблем, можно обратиться в службу поддержки к экспертам по безопасности.

    StormWall Pro


    Этот инструмент защищает от любых уровней DDoS-атак и поддерживает сайты на платформах Drupal, Joomla, WordPress, Bitrix, Magento, PrestaShop и других CMS.

    Датацентры StormWall расположены в США, России и Европе и работают с минимальной задержкой. Настройка системы займёт всего несколько минут, а в случае трудностей, это могут сделать менеджеры компании. Любая техническая проблема, которая может возникнуть в течение работы, будет решена в короткие сроки — ответа техподдержки придётся ждать не дольше 15 минут.

    Стоимость использования сервиса зависит от количества посетителей сайта. Так, за $69 можно обеспечить защиту сайта с 5000 посетителей в месяц, а за $300 купить безлимит.

    Myra


    Сервис Myra DDoS полностью автоматизирован и предназначен для защиты сайта, DNS-серверов и веб-приложений. Система подходит для всех типов CMS и интернет-магазинов.

    Штаб-квартира Myra расположена в Германии, поэтому все данные обрабатываются согласно законом о конфиденциальности этой страны.



    Предлагаю собрать в комментариях более полный список полезных инструментов по защите от DDoS. Какие сервисы знаете вы?
    Share post

    Comments 20

      0
      А как же KDP (Kaspersky Ddos Prevention)?
        0
        Мне он как-то не встретился, но по итогам обсуждений тут я планирую добавить в топик еще список со ссылками, чтобы более полный материал получился
        0
        сервис защиты от DDoS есть у каждого приличного хостера и у каждого крупного оператора связи (на случай, если вы хостите свой сайт сами). Да, атаки на 500 Гб/с они не отобьют, но с другой стороны, такие атаки достаточно редки, а вот атаки в единицы Гб/с происходят по несколько раз на дню.
        Кроме того, надо учесть, что внешние сервисы очистки обладают принципиальным недостатком: если вы поменяли A запись на сервис очистки, а злоумышленникам стал известен настоящий IP адрес вашего сайта, то сервис очистки не поможет. Точнее поможет, если вы построите выделенный канал до сервиса очистки, минуя интернет. Только это экзотика.
        Ещё тонкий момент — если ваш сайт работает по HTTPS, вам нужно предоставить свои приватные(!!!) ключи сервису очистки. Иначе не будет очистки L7 трафика.

        Резюмируя. По сути, есть 3 основных варианта фильтрации DDoS атак:
        — железка у себя. Эффективна от атак уровня приложения и бесполезна от атак на забивание канала. Практически всегда используется, если ваш сайт HTTPS и вы параноик (напр., банк)
        — сервис провайдера. Спасает от атак до десятков Гб/с (а это 99% атак, если вы не СМИ). Может использоваться в комбинации с железкой у себя.
        — внешний сервис очистки. Может спасти от очень крупных атак. Имеет ахилесову пяту в виде возможности обойти сервис очистки. Комбинация с железкой у себя теоретически возможна, но скорее всего потребует собственной разработки (трансляция API вашей железки в API сервиса очистки)
          0
          Про передачу сертификата. Не думаю что для серьёзных организаций это допустимо. С другой стороны атаки на 7-й уровень наиболее распространенные тк дешевые и действенные. Какой же выход?
            +1
            комбинированное решение. Атаки на полосу фильтровать с помощью сервиса провайдера или специализированного сервиса DDoS очистки, атаки L7 — железкой у себя. Соответственно приватные ключи вы загружаете только в свою железку. Атаки L7, как правило, достаточно медленные и канал не забивают, поэтому такое решение работает.
              0
              Это было бы хорошо, а если инфраструктура в облаке? Можно железку такую где-то арендовать и хостить отдельно?
                +1
                тогда берите защиту от DDoS у того же облачного провайдера и отдавайте ему ключи. Собственно, они и так физически у него, поэтому с точки зрения ИБ вы не берете на себя дополнительных рисков
          0
          Поправьте рекорд у Akamai. По нынешней сводке удачно отраженная атака на GitHub составляла 1.3Тбайт/с.
            0
            И то верно, поправил, спасибо!
              0
              С утра ещё была 1,3 Тбит/с
              0
              ;)
                0
                F.U.D.-fest какой-то.
                  0
                  Жаль, что очень мало кто ценники пишут. И как фин-планирование проекта делать, когда никаких цен нету?
                    0
                    Цены на стандартную защиту у многих поставщиков есть. Думаю что для особых случаев цены не могут быть из разряда стнадартных т.к во-первых защищать от Тбс атак за 20$ в месяц себе дороже. С другой стороны для сайта, который атакуют с Тбс трафиком (который в большинестве случае принадлежит состоятельным людям) цена 20 000$ в минуту так же приемлема как и 20$ в месяц. Главное чтобы защита работала.
                      0
                      Вот, к сожалению, реалии текущего рынка такие, что атаку может ожидать и сервис на запуске. Кроме бизнес-тарифа у Клаудфларе и тарифов Qurator-а, у других ценников практически нет :(
                    +1
                    Cloudflare представлены не в 102 дц — неделю назад был открыт их 123й. Остальные данные также стоило бы проверить.
                    Почему-то не упомянули про российский DDoS-GUARD, хотя про Qrator написали. Из крупных еще странно не указать Voxility.
                    Есть сервисы и поменьше, например cloud-shield.ru, blazingfast.io, www.x4b.net

                    Ваша статья очень похожа на habrahabr.ru/company/hosting-cafe/blog/324848 с похожими недочетами по ширине охвата рынка.
                      0
                      Не могу удержаться, и не показать сервис, который разрабатывает моя команда в одной восточноевропейской стране: nisps.com. Это не совсем про антиддос, только 20% функциональности это антиддос.

                      Но в целом, считаю статью ангажированной со странной выборкой провайдеров защиты. Не вижу двух крупных игроков (в командах которых я имел счастье работать) — в России — ddos-guard.net, в Европе — serverius.net
                        0
                        это обычная джинса. выбрали тех кто на слуху, а потом пририсовали к ним тех кто заплатил за текст, слегка «подштукатурив» для красоты.
                          0
                            0
                            аааа… так это esteq ;)

                        Only users with full accounts can post comments. Log in, please.