Eine Kurzanleitung zum Verständnis von DDoS-Angriffen und Abwehrmethoden
Veröffentlicht: 2016-04-25Da sich Unternehmen so stark auf eine Internetpräsenz verlassen, ist es unglaublich wichtig sicherzustellen, dass Sie über den richtigen DDoS-Schutz vor allen Formen von Angriffen verfügen. Distributed Denial of Service (DDoS)-Invasionen gehören zu den einfachsten Formen virtueller Angriffe, die mit einer ständig wachsenden Zahl leicht zugänglicher Tools durchgeführt werden können, können aber auch die größte Bedrohung darstellen. DDoS-Angriffe können von einfachen Webdiensten ausgeführt werden, sind jedoch in der Lage, selbst die stabilsten Server zum Erliegen zu bringen. Diese Angriffe wurden entwickelt, um Dienste mit Anfragen zu überfluten, verhindern den öffentlichen Zugriff und stoppen potenzielle Operationen oder Verkäufe.
Viele Unternehmen, insbesondere kleinere Unternehmen, sind nicht in der Lage, einen unabhängigen Schutz gegen diese Art von Angriffen einzurichten oder DDoS-Secure-Server zu erhalten. Mit zunehmender Angriffsgefahr steigt jedoch auch die Verfügbarkeit externer Hilfe. In ihrem jährlichen weltweiten Infrastructure Security Report hat Arbor Networks eine erhebliche Kundennachfrage nach DDoS-Erkennung und -Schutz festgestellt, von bis zu 74 % gegenüber den winzigen 4 % im Vorjahr.
Was genau sind DDoS-Angriffe und wie schützen Sie Ihr Unternehmen davor, Opfer rücksichtsloser Invasionen zu werden?
Methoden des DDos-Angriffs
Scheinbar einfach in der Theorie, können DDoS-Angriffe verschiedene Methoden verwenden, um Ihre Server zu überfluten, wodurch es schwieriger wird, die Quelle und Methode der Invasion zu bestimmen.
- Volumetrische Angriffe – Der Verbrauch Ihrer gesamten Bandbreite ist eine einfache Möglichkeit, Dienste herunterzufahren. Senden Sie gleichzeitig eine große Anzahl von Anfragen, und selbst die stabilsten Webserver können heruntergefahren werden. Dies geschieht im Allgemeinen über ein „Botnet“ – eine Sammlung von Tausenden von Malware-verseuchten Computern aus der ganzen Welt, die von einem einzigen Hacker kontrolliert werden. Wenn all diese Maschinen auf den Zugriff auf eine einzige Website angewiesen sind, überlastet das schiere Volumen des Datenverkehrs den Server, was zu Abstürzen und zum Absturz Ihrer Seiten führt.
- Angriffe auf die Anwendungsschicht – Das Internet besteht aus sieben vertikalen Schichten, von denen jede unterschiedliche Protokolle zum Senden von Informationen verwendet. Dies ist als Open Systems Interconnection-Modell bekannt und stellt dar, wie Netzwerke funktionieren. Die letzte und siebte Schicht dieses Modells ist als Anwendungsschicht bekannt. Die siebte Schicht ist diejenige, mit der die meisten vertraut sind, und verarbeitet die HTTP- und SMTP-Kommunikation von grundlegenden Webbrowsing- und E-Mail-Diensten. DDoS-Angriffe auf der Anwendungsebene maskieren böswillige Aktivitäten als echtes menschliches Verhalten, um alle Ressourcen auf dieser Ebene zu überwältigen und zu verbrauchen. Da sie versuchen, echte Aktivitäten nachzuahmen, sind diese Angriffe viel schwieriger zu identifizieren.
- Protokollangriffe – Anstatt Dienste durch bloße Zahlen herunterzufahren, konzentrieren sich Protokollangriffe darauf, Ressourcen zu verstopfen, indem sie Ping-Anfragen von gefälschten IP-Adressen senden. Diese Angriffe senden Anfragen mit diesen falschen Adressen an Ihren Server, und wenn Ihr Server versucht zu antworten, warten sie endlos in der Hoffnung, eine Antwort zu erhalten, oder sie werden mit unnötig großen Anfragen zurückgeschickt. Dadurch werden Ressourcen für die Ausführung und den Abschluss anderer Anforderungen und Dienste blockiert.
Warum brauchen Sie einen DDoS-Schutz?
Arbor Networks stellt in seinem Sicherheitsbericht einen deutlichen Anstieg von DDoS-Angriffen gegenüber den Vorjahren fest. Im Jahr 2015 haben 44 % der Dienstanbieter mehr als 21 Angriffe pro Monat festgestellt, eine Steigerung gegenüber den vorherigen 38 %. Aufgrund der Nachfrage nach ständiger Konnektivität und sofortigem Zugriff könnten Kunden von Ihrem Service abgeschreckt werden, wenn DDoS-Angriffe Ihre Website ständig lahmlegen. Allein in der VOIP-Branche kam der Bericht zu dem Schluss, dass die Zahl der DDoS-Angriffe auf Anbieter von nur 9 % aller Angriffe im Jahr 2014 auf 19 % im Jahr 2015 gestiegen ist.
Die Hauptmotivation hinter DDoS-Angriffen scheinen „Kriminelle, die Angriffsfähigkeiten demonstrieren“ zu sein, wobei „Gaming“ und „kriminelle Erpressungsversuche“ laut der Studie nicht allzu weit dahinter liegen. Richtig – kriminelle Erpressung. Es ist nicht ungewöhnlich, dass Hacker kleine warnende DDoS-Angriffe als Bedrohung versenden, gefolgt von einer Lösegeld-E-Mail mit der Androhung einer intensiveren Unterbrechung der Dienste.
Sie können nicht nur Ihren Servicestrom unterbrechen, sondern Arbor Networks stellte auch eine Zunahme von DDoS-Angriffen fest, die häufiger als Nebelwand verwendet werden, als Versuch, andere bösartige Aktivitäten wie Malware-Infektionen, Informationsdiebstahl oder sogar Betrug zu verschleiern.
So funktioniert die DDoS-Abwehr
DDoS-Angriffe sind naturgemäß sehr schwer zu bewältigen, da sie auftreten. Die beste Verteidigungslinie besteht darin, proaktiv Maßnahmen zu ergreifen und einzurichten, die eingehende Daten aktiv analysieren und falsche oder böswillige Anfragen entschärfen. Die Wahl des besten DDoS-Schutzes kann jedoch genauso überwältigend sein wie die Angriffe, und es ist wichtig, nicht nur die Funktionen dieser Schutzmaßnahmen zu beachten, sondern auch ihre Methoden und Support-Netzwerke. Während ein Dienst möglicherweise die besten Funktionen und Methoden bietet, wird der Schutz ohne ein geeignetes unterstützendes Netzwerk, das in der Lage ist, das schiere Volumen zu bewältigen, scheitern.
-Werden Sie angegriffen?
Zunächst ist es wichtig festzustellen, ob Ihr Dienst tatsächlich Opfer eines DDoS-Angriffs geworden ist – der Schutz muss in der Lage sein, guten Datenverkehr (Ihre Kunden) von schlechtem Datenverkehr (dem Angriff) zu unterscheiden. Wenn der Schadensbegrenzungsdienst einfach Datenverkehr erkennt und alle eingehenden Anfragen ausschließt, haben Sie das gleiche Problem mit legitimen Benutzern, die nicht auf Ihre Webseite oder Ihren Dienst zugreifen können. Hier kommen Bot Discernment- und Deep Packet Inspection-Dienste ins Spiel, diese Methoden wurden entwickelt, um zwischen gutem und schlechtem Datenverkehr zu unterscheiden.
-Leiten Sie den schlechten Datenverkehr um
Sobald es erkannt wird, muss schlechter Datenverkehr ordnungsgemäß entschärft und von Ihrem Server weg umgeleitet werden. Hier kommen die Stärke und das Niveau eines Schutznetzwerks ins Spiel. Alle schlechten Pings werden Ihnen weggenommen und durch die Schutzinfrastruktur gefiltert – zum Schutzdienst selbst. Dieser schädliche Datenverkehr wird durch die Security Operation Center Ihres Schutzdienstes gefiltert. Bei einem zu schwachen Netz und zu wenigen Zentren wird der Schutzdienst den Zustrom von Anfragen nicht bewältigen können. Dies würde im Wesentlichen jeden wirklichen Schutz vor Angriffen aufheben. Daher ist es wichtig, die Anzahl und den Standort dieser Sicherheitsbetriebs- oder Scrubbing-Zentren zu vergleichen, wenn man Schutzanbieter in Betracht zieht.
-Nutzung Ihres Schutzes
Da die meisten Schutzdienste an die Anforderungen Ihres Unternehmens anpassbar sind, kann die Einrichtung und Wartung des DDoS-Schutzes stark variieren. Abhängig von der Wichtigkeitsstufe kann Ihr Schutz die ganze Zeit und immer eingeschaltet sein, zu bestimmten Zeiten intermittierend oder sogar ein- und ausgeschaltet werden. Die verschiedenen Bereitstellungsmethoden unterscheiden sich auch darin, wie die Dienste betrieben werden sollen, entweder Cloud-basiert, mit Hardware vor Ort oder ein Hybridmodell, das beides nutzt. Die Wahl der richtigen Bereitstellungsmethode hängt von Ihrer Unternehmensgröße, der Dringlichkeit des Schutzes und sogar von den IT-Fähigkeiten ab. Vor-Ort-Hardware erfordert möglicherweise zusätzlichen Support vor Ort und kann für kleine IT-Teams zu viel sein. In der Zwischenzeit werden die meisten Cloud-Dienste vollständig vom Anbieter gewartet und warnen Sie, wenn ein Angriff auftritt – anstatt den Schutz umzuschalten, wenn Sie einen Angriff bemerken.
Vergleichen Sie die Top 6 DDoS-Mitigation-Lösungen
Mit einem soliden Verständnis dessen, was DDoS-Angriffe sind und wie sie abgeschwächt werden können, ist es wichtig, die verschiedenen Lösungsangebote auf dem Markt genau zu analysieren, um ihre Wirksamkeit zu bestimmen. Wie bereits erwähnt, ist es wichtig, dass der Schutz nicht nur geeignete Schutzmethoden verwendet, sondern auch über eine angemessene Netzwerkunterstützung verfügt, um alle Angriffe ordnungsgemäß abzuschwächen. Neben einfachen Funktionen ist es wichtig, die Anzahl der Sicherheitszentralen zu beachten, die dem Schutz zur Verfügung stehen, sowie die Netzwerkkapazität.
Bei zu wenigen Sicherheitszentren oder zu geringer Netzwerkkapazität würden die besten Abwehr-Tools einen Angriff nicht richtig verhindern können, da der Datenverkehr nirgendwohin gesendet werden könnte. Eine einfache Möglichkeit, dies zu verstehen, besteht darin, es mit einer Mautstelle für eine Brückenüberquerung in Beziehung zu setzen. Schnellzugangspunkte, an denen Autos nicht anhalten und Mautgebühren zahlen müssen, ermöglichen ein schnelleres Passieren, aber wenn die Anzahl der Zugangspunkte auf 2 oder 3 begrenzt ist, wird der Zustrom von Autos in der Hauptverkehrszeit auf eine begrenzte Anzahl von Eingängen geleitet Punkte. Ohne eine angemessene Infrastruktur, die mehr Einstiegspunkte ermöglicht, wird das System überfordert und der Vorteil schnellerer Zahlungssysteme wird zunichte gemacht.
DDoS-Angriffe sind schwer zu simulieren und das Testen jedes einzelnen Schutzdienstes ist nicht vollständig machbar. Um die Angebote der einzelnen Anbieter aufzuschlüsseln, haben wir Informationen von deren einzelnen Webseiten sowie unabhängige Recherchen und Kontakte mit den Anbietern bezogen. Nachfolgend finden Sie eine Tabelle mit den wichtigsten Diensten und ihren vergleichbaren Funktionen.
 |  |  |  |  |  | |
| Anzahl der Security Operation Center | 4 | 42 | 4 | 27 | 3 | 5 |
| Netzwerkkapazität (gemessen in TB pro Sekunde) | 1 | N / A | 1 | 1.5 | 0,5 | 1.7 |
| Firewall | Nein | ja | ja | ja | Nein | Nein |
| Automatische Bot-Unterscheidung | ja | ja | ja | ja | ja | ja |
| Deep-Packet-Inspection | ja | N / A | ja | ja | ja | ja |
| DNS-Umleitung | ja | ja | ja | ja | ja | ja |
| Web-Proxy | Nein | ja | ja | ja | ja | ja |
| Echtzeitüberwachung | ja | ja | ja | ja | ja | ja |
| IP-Blockierung | ja | ja | ja | ja | ja | ja |
| Immer auf | ja | ja | ja | ja | ja | ja |
| Cloudbasierter Schutz | ja | ja | ja | ja | ja | ja |
| Hybridschutz | ja | Nein | Nein | ja | ja | ja |
| Überwachung vor Ort | ja | Nein | Nein | ja | Nein | Nein |
| 24/7 Kundenservice | ja | ja | ja | ja | ja | ja |
| Email Unterstützung | ja | ja | ja | ja | ja | ja |
| Telefonsupport | ja | ja | ja | ja | ja | ja |
| Live-Web-Chat | Nein | Nein | ja | ja | ja | Nein |
| Mehr Info | Mehr Details | Mehr Details | Mehr Details | Mehr Details | Mehr Details | Mehr Details |