DDoS-Angriffe abwehren

DDoS-Schutz im Überblick

| Autor / Redakteur: Maik Rosengart / Peter Schmitz

Wenn der Großteil ihres Geschäftes von der Erreichbarkeit über das Internet abhängt müssen sich auch KMU mit einer wirkungsvollen DDoS-Abwehr befassen.
Wenn der Großteil ihres Geschäftes von der Erreichbarkeit über das Internet abhängt müssen sich auch KMU mit einer wirkungsvollen DDoS-Abwehr befassen. (Bild: Pixabay / CC0)

Durch Cyberangriffe wie DDoS-Attacken (Distri­buted Denial of Service) drohen Unter­nehmen Umsatzausfälle, sowie Reputations- und Pro­duk­ti­vi­tätseinbußen. Dennoch lassen immer noch viele Firmen ihre Online-Systeme un­ge­schützt. Dabei bietet der Markt viele DDoS-Schutzprodukte, einige davon auch passend für KMU-Budgets. Man muss nur den Überblick behalten, welche Technologie und Lösung für die eigenen Zwecke die richtige ist.

In seinem aktuellen „State of the Internet Security“-Report verzeichnet Akamai, einer der führenden Anbieter von DDoS-Lösungen und Cloud-Sicherheit, einen erneuten Anstieg um 14 Prozent bei DDoS-Angriffen. Dies bezieht sich auf das 4. Quartal 2017 im Vergleich zum selben Zeitraum im Vorjahr. Des Weiteren hält der Report fest, dass DDoS-Angriffe nach wie vor immer häufiger die Anwendungsebene (Layer 7) adressieren anstelle der Netzwerk- oder Transportebene (Layer 3 und 4). Hier betrug der Anstieg 22 Prozent im Vergleich zum Vorjahreszeitraum.

Dabei geht es im Unterschied zur klassischen DDoS-Attacke nicht darum, Systeme zu überlasten und damit deren Verfügbarkeit zu beeinflussen. Vielmehr werden Schwachstellen einer Anwendung (Datenbanken, Mailprogramme etc.) gesucht und ausgenutzt, um Daten zu manipulieren oder zu stehlen. Zusätzlich kombinieren Angreifer gerne mehrere Angriffsvektoren miteinander, um Abwehrmethoden zu umgehen und möglichst viel Schaden anzurichten. Eine professionelle DDoS-Schutzlösung sollte daher auf der Agenda jedes IT-Security-Verantwortlichen stehen.

DDoS-Mitigation im Überblick

Vom kostenfreien Basisschutz im Rechenzentrum des Providers über dedizierte Hardware bis hin zu verschiedenen Cloud-basierten Lösungen – im Grunde lässt sich die hohe Anzahl der auf dem Markt verfügbaren DDoS-Mitigation-Produkte auf eine Handvoll Technologien herunterbrechen. Unterschiede bestehen bei den diversen Anbietern dann lediglich im Hinblick auf die Qualität (zum Beispiel die angebotene „time to mitigate“, also die Reaktionszeit, bevor die Abwehr einsetzt) und den Preis.

Basisschutz im Rechenzentrum

Wer seine Infrastruktur extern bei einem Hosting- oder Cloud-Anbieter betreibt, der kann davon ausgehen, dass der Provider einen Basisschutz im eigenen Rechenzentrum eingerichtet hat. Einige Anbieter bewerben dies auch als kostenfreien DDoS-Schutz für die Kunden. Primär geht es jedoch darum, die eigenen Netze zu sichern. Dennoch sorgt der Basisschutz dafür, dass die Systeme eines Kunden weiterhin erreichbar sind, während Angriffe auf andere Kunden im selben Netzwerk stattfinden. Dabei werden alle Arten von Attacken schnell erkannt und entsprechende Gegenmaßnahmen getroffen. Jedoch ist die Erreichbarkeit bei einer Attacke gegen die eigenen Systeme durch diese Lösung nicht garantiert. Zudem werden Ausfallzeiten durch DDoS-Angriffe branchenüblich von den Service Level Agreements (SLA) ausgeschlossen.

DNS-Forwarding bzw. CDN-basierte Lösungen

Die meisten Betreiber eines CDNs (Content Delivery Network) nutzen ihre weltweit verteilte Infrastruktur auch für wirkungsvolle DDoS-Schutzlösungen. Ein CDN dient normalerweise der optimierten Auslieferung von Content in alle Teile der Welt. Dazu betreibt der Anbieter zahlreiche CDN-Knotenpunkte, an denen ebenfalls eine Filterung des eingehenden Traffics auf Angriffsmuster stattfinden kann. Man spricht bei diesen Lösungen auch von DNS-Forwarding-Lösungen: Die DNS-Einträge der zu schützenden Umgebung werden so angepasst, dass der Traffic zunächst über die Mitigation-Infrastruktur läuft. So werden Angriffe bereits am Rande des Netzwerks abgewehrt, bevor sie die Systeme des Kunden erreichen. Diese Lösungen bieten Schutz einer Website oder eines Webshops vor allen Arten von DDoS-Angriffen auf Basis von TCP und TCP-HTTP. Darüber hinaus ist es möglich, eine WAF (Web Application Firewall) zu integrieren und Angriffe auf Webanwendungen zu verhindern.

BGP-Routing bzw. DDoS Scrubbing Center

Einen umfassenden Schutz der gesamten gehosteten Infrastruktur – Webshop oder Website, VPN, FTP, Mailserver, Datenbanken etc. – bieten BGP-basierte Produkte. Sie arbeiten mit einem dauerhaften Routing des eingehenden Datenverkehrs über das Border Gateway Protocol auf externe „Waschstraßen“ (Scrubbing Center) des jeweiligen Security-Anbieters. Jeglicher Traffic zu der Umgebung des Kunden wird dort gefiltert und anschließend über eine gesicherte Leitung zum Zielsystem weitergeführt. Die Hosting-Infrastruktur wird mit diesen Produkten gegen den größten Teil aller Arten von DDoS-Attacken auf Basis von TCP, TCP-HTTP, UDP und ICMP geschützt. Scrubbing-Lösungen können vor allem große volumetrische Angriffe gut abwehren und auch Multivektor-Angriffe schneller erkennen.

Spezielle Lösung für kleinere Projekte

Heute sollten sich besonders kleinere und mittelgroße Unternehmen konsequent mit einer wirkungsvollen DDoS-Abwehr befassen. Zumindest, wenn der Großteil ihres Geschäftes von der Erreichbarkeit über das Internet abhängt. Denn in der täglichen Praxis eines Hosting- und Cloud-Providers zeigt sich, dass KMUs immer häufiger zum Ziel von Cyberangriffen werden. Der Grund: Sie verfügen aus Budgetgründen nicht über eine eigene Schutzlösung und sind somit ein dankbares Opfer von erpresserischen DDoS-Angriffen. Jedoch ist speziell für kleinere und mittelgroße Projekte seit Kurzem eine DDoS-Schutzlösung auf dem Markt, die auf dem wirtschaftlichen Cloud-Prinzip basiert. Das bedeutet, dass die zugrundeliegende Infrastruktur von mehreren Kunden genutzt wird und sich somit die Kosten für den einzelnen reduzieren. Gleichwohl ist hier ein wirkungsvoller Schutz gegeben, der neben dem Webangebot auch weitere Dienste (z.B. Mail- oder FTP-Server) mit einbezieht.

Hilfe bei der Auswahl

Laut der 2017 Executive Application & Network Security Survey von Radware setzen 40 Prozent der mittleren und großen Unternehmen auf ihren Service-Provider, wenn es um DDoS-Schutz geht. Neben einer neutralen Beratung bietet dieser auch die passenden Produkte verschiedener Hersteller aus einer Hand an, was den Aufwand für Unternehmen reduziert.

Über den Autor: Maik Rosengart ist Experte für DDoS-Mitigation und Product Manager bei der PlusServer GmbH, Köln.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45373678 / DDoS und Spam)