Какое количество усилий и денег нужно инвестировать против DDoS-угроз?

Как правило, когда вы вкладываете деньги, чтобы защитить себя от какой-либо возможной угрозы, вы должны учитывать два фактора:

• вероятность (p) проблемы на самом деле происходит
• сколько денег (m) эта проблема будет стоить вам, если бы это случилось

Умножьте эти два числа (p*m) и вы получите приблизительное представление о том, сколько денег разумно инвестировать, чтобы защитить себя. Конечно, все сложнее, но это дает вам приблизительную оценку.

Сложность состоит в том, чтобы получить разумную оценку этих чисел. Большое количество факторов должно быть принято во внимание для этой оценки, и большинство факторов меняется от компании к компании. Например, очень заметная компания будет иметь больше шансов стать мишенью, чем другие; компания, работающая в конкурентной среде, будет менее вероятной мишенью, чем компания, конкурирующая с противными конкурентами; и т.д. Короче говоря, ваш пробег может отличаться.

Но есть несколько факторов, которые практически одинаковы для всех:

• насколько легко / сложно запустить DDoS-атаку 1 Гбит / с? Атака 10 Гбит / с? Атака 100 Гбит / с?
• насколько дешево / дорого это сделать?
• насколько это безопасно / рискованно?
• какие компании в первую очередь нацелены?
• Вы обычно нацелены один раз или много раз
• как долго продолжаются типичные атаки?
• Насколько сильны типичные атаки?
• ...

Можно утверждать, что только хакеры должны знать ответ на эти вопросы. Но я считаю, что мы (системные администраторы) должны все знать ответы: как еще вы можете оценить количество усилий и денег, которые вы должны инвестировать в DDoS-защиту?

Спасибо за вашу помощь.

Заметка

Мой оригинальный пост включал эту историю, на случай, если вам интересно...

Наша компания стала жертвой масштабной DDoS-атаки (более 50 Гбит / с UDP-трафика, работающего полный рабочий день в течение 2 недель). Мы почти уверены, что это один из наших конкурентов, и мы на самом деле знаем, какой именно, потому что мы были единственными оставшимися конкурентами по очень большой просьбе о предложении, и атака DDoS волшебным образом прекратилась в день, когда мы выиграли (двойной ура, путь)!

Эти люди в прошлом доказывали, что они очень нечестны, но мы знаем, что они вообще не являются техническими специалистами, поэтому мы считаем, что они просто заплатили за некоторый DDoS-сервис ботнета. Я хотел бы знать, сколько обычно стоят эти услуги для такой крупномасштабной атаки. Пожалуйста, не давайте никаких ссылок на такие сервисы, я бы очень не хотел, чтобы эти люди рекламировались.

Я понимаю, что хакер вполне мог бы сделать это бесплатно, но какова типичная цена за такую ​​атаку, если наши конкуренты заплатили за нее через какой-то сервис ботнета? Это действительно начинает пугать меня (если мы говорим здесь тысячи долларов, то я действительно сойду с ума: кто знает, они могут просто нанять киллера однажды?).

Конечно, мы подали жалобу, но полиция говорит, что они ничего не могут с этим поделать (так говорят, DDoS-атаки практически невозможно отследить), и наших подозрений недостаточно, чтобы оправдать их налет на офисы наших конкурентов для поиска доказательств.

К вашему сведению, теперь мы изменили нашу инфраструктуру, чтобы выдерживать такие атаки: теперь мы используем основной сервис CDN, чтобы наши серверы не подвергались прямому воздействию DDoS-атак. Запросы на динамические страницы действительно передаются на наши серверы, но во время атак низкого уровня (например, UDP-флуд или Syn-флуд) мы получаем только легитимный трафик, поэтому мы в порядке. Если они решат начать атаки более высокого уровня (например, HTTP-флуд или медленные атаки), большая часть нагрузки должна обрабатываться CDN... по крайней мере, я на это надеюсь!