Strategien zur Abwehr von DDoS-Angriffen

DDoS-Attacken reaktiv oder vorausschauend abwehren?

| Autor / Redakteur: Heiko Frank / Peter Schmitz

Sollen Unternehmen bei DDoS-Angriffen lieber mit proaktiven Maßnahmen vorbeugen, oder sich eher auf reaktive Strategien konzentrieren? Beides hat seine Vor- und Nachteile.
Sollen Unternehmen bei DDoS-Angriffen lieber mit proaktiven Maßnahmen vorbeugen, oder sich eher auf reaktive Strategien konzentrieren? Beides hat seine Vor- und Nachteile. (Bild: Pixabay / CC0)

Distributed-Denial-of-Service, besser bekannt unter dem Namen DDoS, ist eine der häufigsten Cyberattacken im Enterprise-Umfeld. Eine aktuelle Studie zeigt, dass sich große DDoS-Attacken mit über 50 Gbit/s in den letzten zwei Jahren vervierfacht haben. Außerdem gehen 44 Prozent der IT-Experten von einem Anstieg des Umfangs von DDoS-Angriffen aus.

Vor kurzem traf die Entwicklerplattform Github die bisher wohl größte DDoS-Attacke aller Zeiten – mit bis zu 1,35 Terabit pro Sekunde (TB/s). Die Angreifer verwendeten für ihren Angriff offenbar eine neue Technik und nutzten Memcached-Server aus. Die Effektivität dieser Technik dürfte dazu führen, dass sich Cyberkriminelle auch in Zukunft verstärkt dieses Tools bedienen werden. Unternehmen stehen angesichts solch gewaltiger Angriffe immer wieder vor der Frage, wie sie sich am besten vor DDoS-Attacken schützen. Sollten sie lieber vorbeugen und proaktive Maßnahmen einführen oder sich eher auf reaktive Strategien konzentrieren? Beides hat seine Vor- und Nachteile. Je nach Unternehmensgröße kann die eine oder andere Methode besser geeignet sein.

Cyberkriminelle nutzen DDoS-Attacken, um Unternehmen gezielt zu schädigen. Dabei bedienen sie sich häufig der gewaltigen Schlagkraft eines Botnets, das aus Hunderten oder gar Tausenden infizierter PCs weltweit bestehen kann. Ihre enorme Tragweite macht sie zu einer unkalkulierbaren und ernstzunehmenden Gefahr, da sie großen Schaden verursachen können. Dabei geht es nicht nur um die Nichtverfügbarkeit eines Dienstes oder Servers – die Attacken können dauerhaft die Marke, die Umsätze sowie die Benutzererfahrung negativ beeinflussen. IT-Sicherheitsforscher weltweit feilen deswegen an Abwehrmechanismen und diskutieren, ob proaktive oder reaktive Schutzmaßnahmen besser geeignet sind.

Proaktiv oder reaktiv?

Um diese Frage zu beantworten, gilt es zunächst zu definieren, was proaktive und reaktive Maßnahmen überhaupt sind. Proaktive Maßnahmen verhindern oder erschweren DDoS-Angriffe bereits im Vorfeld; die Schutzmechanismen werden dauerhaft auf potentielle Gefahren ausgerichtet. Es kommen Tools zum Einsatz, mit denen sich die Datenpakete genau analysieren lassen. Eine mögliche proaktive Maßnahme ist beispielsweise die Einführung eines Patch-Managements oder die regelmäßige Durchführung von Penetrationstests, um Schwachstellen zu identifizieren. Nach der Überprüfung des eingehenden Traffics wird mit Hilfe von gesammelten Informationen und Verhaltensindikatoren geprüft, ob es sich um einen Bot oder eine Attacke handelt, die blockiert werden muss. Der reguläre Datenverkehr darf passieren.

Reaktive Maßnahmen dagegen dienen der Abwehr von Angriffen und der Schadensbegrenzung. Hierbei werden die Daten von Edge-Routern und Switches genutzt und auf Anomalien analysiert. Wenn diese auf eine DDoS-Attacke oder andere Cybergefahren hindeuten, werden „Mitigationslösungen“ eingesetzt. Der Datenverkehr wird also nicht dauerhaft, sondern nur im Fall einer entdeckten Gefahr gefiltert. Der Schlüssel zu einer effektiven „DDoS-Mitigation“ liegt in der Trennung des eingehenden Verkehrs in bekannten, menschlichen und von Bots erzeugten Datenverkehr. Dies geschieht durch den Einsatz von Threat Intelligence, um eingehende Signaturen zu vergleichen und Verkehrsattribute zu untersuchen.

Proaktiv ist nicht immer die bessere Variante

Proaktive Maßnahmen scheinen zunächst die bessere Alternative darzustellen, da sie immer präsent und aktiv sind sowie den gesamten Datenverkehr überwachen. Die „Mitigationslösung“ liegt zwischen dem externen und dem internen Netzwerk, um dadurch Bedrohungen zu verhindern. So lassen sich die höchsten Entdeckungsraten erzielen. Proaktive Lösungen werden vor allem bei Echtzeit-Applikationen wie bei Video- und Gaming-Portalen und zum Schutz von DNS-Infrastrukturen eingesetzt. Allerdings gibt es hierbei nicht nur Vorteile, denn proaktive Maßnahmen haben ihren Preis. Da sie immer aktiv sein müssen, sind die Kosten für die Inbetriebnahme und Wartung sehr hoch, vor allem bei großen Netzwerken.

Reaktive Maßnahmen hingegen sind für die Analyse bereits in das Netzwerk integriert. Durch die Verwendung von Routing-Protokollen wird der Datenverkehr nur bei Bedarf gefiltert. Der Vorteil dieser Methode ist, dass die Lösung besser skaliert werden kann, denn bei der Mitigation wird nur eine bestimmte Kapazität zur Abwehr des Angriffs, nicht jedoch unbedingt die gesamte Netzwerkkapazität, benötigt. Daher sind reaktive Maßnahmen für kleinere Netzwerke, die keine Echtzeitapplikationen nutzen, kosteneffizienter. So müssen keine umfassenden Sicherheitsmaßnahmen aufgebaut werden, die möglicherweise die Leistungsfähigkeit des Netzwerks überstrapazieren. Der Nachteil einer reaktiven im Vergleich zu einer proaktiven Lösung könnten allerdings eine höhere Komplexität und zusätzliche Verzögerungen sein. Die höhere Komplexität des Routings erfordert zusätzliche Planung, Konfiguration und fachkundiges Personal. Die Verzögerung betrifft die Zeit zwischen der Angriffserkennung und dem Inkrafttreten der Schutzmaßnahmen. Reaktive Lösungen können den Datenverkehr nicht so schnell analysieren, sodass es länger dauert, eine Attacke aufzuspüren und darauf zu reagieren. Wenn der Angriff so groß ist, dass er die Ressourcen übersteigt, kann sich dies zusätzlich auf die Netzwerksicherheit auswirken.

Beide Abwehrmechanismen bieten unterschiedliche Vor- und Nachteile. Eines haben sie jedoch gemeinsam: Beide müssen in der Lage sein, Attacken abzumildern und zu entscheiden, ob ein Bot aktiv ist oder ob es sich um normalen Datenverkehr handelt.

DDoS-Schutz individuell anpassen

Welche Strategie ist nun die bessere? Wie bei den meisten Entscheidungen sind die Anforderungen des Unternehmens maßgeblich. Ist es notwendig mehr zu investieren, damit die Abwehrmechanismen immer aktiv sind oder kommt auch eine kostengünstige Variante in Betracht? Um dies herauszufinden, ist es erforderlich, Faktoren wie die Größe des Netzwerks und die finanzielle Situation des Unternehmens zu berücksichtigen sowie die Wichtigkeit der Daten, die es zu schützen gilt.

Auf dem Markt gibt es zahlreiche Lösungen von führenden Anbietern, die sowohl proaktive als auch reaktive Maßnahmen umsetzen können, um Unternehmen vor Cyberattacken zu schützen. Mit skalierbaren Lösungen, die Virtualisierung und Cloud-Technologien nutzen, lässt sich der Schutz erhöhen. Egal, ob es sich also um proaktive oder reaktive Maßnahmen handelt, entscheidend ist es, dass Unternehmen eine umfassende Sicherheitsstrategie implementieren und diese auch umsetzen.

Über den Autor:Heiko Frank ist Senior System Engineer bei A10 Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45362952 / DDoS und Spam)