So implementieren Sie einen Schutz vor DDoS-Angriffen
Da die Bedrohung durch gefährliche DDoS-Angriffe weiter wächst, sind vorbeugende Maßnahmen unverzichtbar. Wie sollten Organisationen vorgehen, um diese Attacken abzuwehren?
DDoS-Angriffe (Distributed Denial of Service) können gravierend sein – insbesondere für kleinere Unternehmen, denen die Ressourcen fehlen, um richtig damit umzugehen.
Umfang und Tragweite von DDoS-Angriffen haben heute bereits ein Ausmaß erreicht, das es einem Einzelnen ohne Weiteres erlaubt, Ihren Internetzugang über viele Stunden lahmzulegen. Infolgedessen ist eine Strategie zur Abwehr von DDoS-Attacken zwingend erforderlich.
Gleichzeitig verschlimmert sich die Situation aufgrund der zunehmenden Popularität des Internets der Dinge (Internet of Things, IoT) immer mehr. Ein Hacker kann nun für einen Angriff Tausende von IoT-Geräten einbeziehen, die überall auf der Welt verteilt sind und von denen jedes einzelne mit einem anderen Edge-Provider vernetzt sein kann.
Welche Optionen stehen Ihnen im Falle eines Angriffs zur Verfügung?
Als erstes können Sie versuchen, die Attacke an Ihrer Netzwerkgrenze zu entschärfen, etwa indem Sie ein System zum Schutz vor DDoS-Angriffen an den Verbindungsstellen zu Ihren Providern installieren – AS65001 und 65002 in Abbildung 1. Bei diesem Ansatz wird Ihre Bandbreite allerdings immer noch durch die DDoS-Attacke reduziert. Deshalb kommt ein solches Vorgehen in vielen Situationen viel zu spät, um irgendeinen Nutzen zu haben.
Eine weitere Möglichkeit besteht darin, Ihre Upstream-Provider zu kontaktieren – in Abbildung 1 ebenfalls AS65001 und 65002 – und sie zu bitten, Gegenmaßnahmen zu ergreifen, um die Attacke abzuschwächen. Viele Provider bieten diese Art von Service an, es ist also eine realistische Option. Allerdings könnte es sein, dass sie einen größer angelegten Angriff nicht eindämmen können.
Abbildung 1: DDoS-Angriffe können Sie über Ihre Provider entschärfen.
Es kann auch sein, dass Sie über sehr viele Edge-Verbindungen verfügen, so dass es recht teuer wird, wenn Sie jeden Ihrer Provider um einen solchen Service bitten. Stellen Sie sich einmal die Situation vor, dass Sie ein sehr umfangreiches SD-WAN-basiertes Hub-and-Spoke-Netzwerk (also eine Sterntopologie ) betreiben, mit Hunderten von Remote-Büros und, aus diesem Grund, möglicherweise Dutzenden von Upstream-Providern. Außerdem akzeptiert der Provider immer noch Traffic an seinen Edges, der am Ende verworfen wird – eine Verschwendung von Bandbreite und Ressourcen.
Die Cloud und DOTS als Schutz vor DDoS-Angriffen
Sie können auch eine Strategie mit einem Cloud-basierten DDoS-Provider für das Route Advertisement erarbeiten. Dieser Ansatz lenkt den Traffic in dessen Cloud, eliminiert die DDoS-Attacke und leitet danach den Traffic zu Ihnen weiter – in der Regel über einen Tunnel.
Sie können auch eine Strategie mit einem Cloud-basierten DDoS-Provider für das Route Advertisement erarbeiten.
Diese Verteidigungsmaßnahmen gegen DDoS-Angriffe haben jedoch einen Haken: Die Umleitung muss entweder dauerhaft aktiviert sein, worunter die Performance Ihrer über das Internet bereitgestellten Services permanent leidet, oder Sie müssen irgendwie den Provider kurz nach dem Beginn einer DDoS-Attacke kontaktieren, um sie abzuwehren.
Die Arbeitsgruppe DDoS Open Threat Signaling (DOTS) innerhalb der Internet Engineering Task Force (IETF) arbeitet an einer Alternative: der Möglichkeit, eine – oder alle – der zuvor genannten Reaktionen automatisch zu signalisieren. Der DOTS-Ansatz enthält mehrere Komponenten, unter anderem einen Client, einen Server und ein Mitigatory-System. Zunächst wendet sich der Client per DOTS-Signalisierung an einen Server, der wiederum Mitigatoren darum bittet, den Angriff zu entschärfen.
Abbildung 2: Mit DOTS kann ein aus Servern, Clients und Mitigatoren bestehendes Netzwerk DDoS-Angriffe abwehren.
Ein Gerät kann sowohl als Server wie auch als Client fungieren. Daher kann eine Anfrage an einen einzelnen Server sich im gesamten Overlay-Netzwerk von Mitigation-Services verbreiten, um die Attacke so nahe wie möglich an den Quellen zu stoppen.
So ist es im Eingangsbeispiel denkbar, dass DDoS-Mitigation von den beiden Upstream-Providern 65001 und 65002 zur Verfügung gestellt wird. Wenn der DDoS-Angriff erkannt wird, können Sie per DOTS-Signalisierung Ihre zwei Upstream-Provider bitten, das Problem zu entschärfen. Diese wiederum können Teile der Attacke lokal bekämpfen oder einfach als Client für einen Cloud-basierten DDoS-Mitigation-Service dienen, den sie vertraglich nutzen dürfen. Sie können von diesen Providern einen Service anfordern, der schließlich den Traffic wie benötigt umleitet, so dass der DDoS-Angriff entschärft wird. Dies würde sich sogar damit kombinieren lassen, dass der Upstream-Provider über das Internet Eindämmungsmaßnahmen gegenüber den autonomen Ursprungssystemen anfordert – s1 – s6 in Abbildung 1.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!
