Bevor Sie sich vor Denial of Service (DoS)-Angriffen schützen können, müssen Sie erst einmal verstehen, was es damit auf sich hat. Ein DoS-Angriff ist ein böswilliger Versuch, die Verfügbarkeit eines Zielsystems zu beeinträchtigen, indem eine unnatürlich große Menge an Datenpaketen erzeugt und das System auf diese Weise in die Knie gezwungen wird. Als Zielsysteme gelten dabei Anwendungen, Websites oder sogar Endnutzer. Ein Distributed Denial of Service (DDoS)-Angriff liegt vor, wenn ein Angreifer mehrere kompromittierte Quellen für einen volumetrischen Angriff verwendet.
DDos-Angriffe lassen sich je nach angegriffenem Open Systems Interconnection (OSI)-Layer klassifizieren. Die häufigsten Angriffe erfolgen auf den Network Layer (OSI Layer 3), Transport Layer (OSI Layer 4) und Anwendungs-Layer (OSI Layer 7). Nur wenige der heute zahlreichen Cyberangriffe sind so monströs und verheerend wie DDoS-Angriffe. NortonLifeLock bezeichnet DDoS-Angriffe als „eine der mächtigsten Waffen des modernen Internets“ – und zwar aus gutem Grund. Diese böswilligen Angriffe können jederzeit auftreten und ganze Websites zum Erliegen bringen. Dies kann wiederum zu massiven Serviceunterbrechungen und erheblichen finanziellen Verlusten führt. Noch schlimmer ist, dass die Zahl der DDoS-Angriffe weltweit zunimmt. Jüngste Untersuchungen zeigen einen Anstieg von 29 % gegenüber dem Vorjahr im vierten Quartal 2021.
Layer 3 und 4 beziehen sich auf die Infrastruktur. Zu den gängigen DDos-Angriffsvektoren auf diese Layer gehören SYN Floods, UDP Floods und Internet Control Message Protocol (ICMP)-Angriffe. Layer 3 ist als Netzwerk-Layer dafür verantwortlich, auf welchem physischen Pfad Daten durch das Netzwerk geschickt werden. Layer 4 sorgt hingegen für die Datenübertragung zwischen den Hosts und gewährleistet die Datenintegrität und Vollständigkeit der Übertragung durch das Transport Control Protocol (TCP). Angriffe, die auf diese beiden Layer abzielen, generieren ein massives Traffic-Aufkommen, das die verfügbare Netzwerkkapazität oder Gruppe von Hosts überlasten soll. Die gute Nachricht ist, dass diese Angriffsarten eindeutige Signaturen aufweisen und deshalb leichter zu erkennen und abzuwehren sind.
Layer 7 ist der Anwendungs-Layer. Angriffe auf diesen Layer sind einerseits seltener, andererseits aber auch ausgeklügelter. Was das Datenvolumen betrifft, geht es hier im Gegensatz zu Angriffen auf den Infrastruktur-Layer weniger um einen plötzlichen Traffic-Anstieg. Allerdings sind das Ziel weiterhin zentrale, kritische Teile der Anwendung, was sich negativ auf die Performance des Zielsystems auswirkt. Ein reales Beispiel dafür ist das Flooding einer Anmeldeseite oder die Beschlagnahme einer offengelegten API durch eine kostspielige Suchanfrage mit dem Ziel, das Nutzererlebnis zu beeinträchtigen. Die Behebung dieser Angriffe ist mit hohen Kosten verbunden. Kleine und mittelständische Unternehmen (KMUs) geben im Durchschnitt US$ 120.000 für die Wiederherstellung von Diensten und die Aufrechterhaltung des Betriebs während eines DDoS-Angriffs aus.
Traffic-Muster erkennen
Eine erste Form der Verteidigung ist die Erstellung eines Traffic-Profils. Dieses Profil sollte Angaben dazu enthalten, wie „guter“ Traffic aussieht und welche Traffic-Volumina in Ihrem Netzwerk zu erwarten sind. Wenn Sie Ihren Traffic anhand eines solchen Profils kontrollieren, können Sie Regeln erstellen, wie viel Traffic Ihrer Infrastruktur zumutbar ist, ohne das Nutzererlebnis zu beeinträchtigen. Rate Limiting gibt die Baseline vor, die Sie dann um Traffic erweitern können, der nach eingehender Prüfung zusätzlicher Variablen validiert wurde. Eine kleine Sicherheitslücke reicht aus, um Ihrem Netzwerk und Ihren Servern irreparablen Schaden zuzufügen und Ihre Mitarbeiter den fünf emotionalen Phasen eines DDoS-Angriffs auszuliefern. Gehen Sie also von Anfang an sorgfältig vor.
Angriffsfläche minimieren
Zu den einfachsten Möglichkeiten, DDoS-Angriffe abzuwehren, gehört die Verkleinerung der Angriffsfläche. So werden Angreifern die Optionen genommen, und Sie können gleichzeitig gezielte Gegen- und Schutzmaßnahmen ergreifen. Ihre Anwendungen und Hosts sollten außerdem nicht mit Ports, Protokollen oder anderen Anwendungen interagieren, von denen Sie keinen Traffic erwarten. Dies lässt sich in der Regel leicht bewerkstelligen, indem Sie Ihren Infrastrukturressourcen ein Content Delivery Network (CDN) als Proxy vorschalten, das direkten Internet-Traffic zu bestimmten Teilen Ihrer Infrastruktur unterbindet. Alternativ können Sie eine Firewall oder Access Control Lists (ACL) nutzen, um den Traffic zu bestimmten Anwendungen zu kontrollieren.
Anwendungsbasierte Firewall einsetzen
Wenn Ihre Anwendung mit dem Internet verbunden ist, werden Sie täglich mehrfach angegriffen, nämlich im Durchschnitt alle 39 Sekunden. Eine gute Praxis ist der Einsatz einer Web Application Firewall (WAF) zum Schutz vor Angriffen. Konzentrieren Sie sich zunächst aktiv auf die Bekämpfung von OWASP Top 10-Angriffen und erstellen Sie dann ein individuelles Traffic-Profil für weitere ungültige Anfragen. Bei diesen kann es sich beispielsweise um als legitimer Traffic getarnte Anfragen von bekannten böswilligen IP-Adressen oder einem geografischen Teil der Welt handeln, in dem Sie nicht geschäftlich tätig sind. Eine WAF ist bei der Abwehr von Angriffen auch insofern hilfreich, als Sie fortschrittliche Support-Funktionen bietet, über die die Traffic-Heuristik untersucht und ein maßgeschneiderter Schutz für Ihre Anwendung erarbeitet werden kann.
Skalieren nach Design
Auch wenn dies für sich genommen nicht die beste Lösung ist, kann es eine Option sein, Ihre Bandbreiten (Upstream)- oder Server (Rechen)-Kapazität zu erhöhen, um Angriffe abzufedern. Achten Sie bei der Konzeption und Entwicklung Ihrer Anwendungen also auf eine redundante Verbindung mit dem Internet, über die Sie die Traffic-Spitzen bewältigen können. Eine gängige Praxis ist der Einsatz von Loadbalancing zur kontinuierlichen Überwachung und Verteilung von Lasten zwischen den verfügbaren Ressourcen, um einer punktuellen Überlastung vorzubeugen. Darüber hinaus können Sie Ihre Webanwendungen mit Blick auf ein CDN mit einem zusätzlichen Netzwerkinfrastruktur-Layer erstellen, über das Inhalte oft näher an Ihren Endnutzern ausgeliefert werden. Die meisten DDoS-Angriffe sind volumetrisch und beanspruchen riesige Mengen an Ressourcen. Ihre Anwendung muss sich schnell nach oben oder unten skalieren lassen, wenn sie entsprechenden Rechenprozessen ausgesetzt ist. Mit einem CDN wird der Angriff so weit verteilt, dass er leicht abgefangen werden kann. Selbst bei höchst ausgeklügelten Angriffen ziehen CDNs noch ein Ass aus dem Ärmel. Ausgehend von Angriffsprofilen können sie böswilligen Traffic herausfiltern oder verlangsamen.
Im Kampf gegen die ausgeklügelten DDoS-Angriffe von heute gilt: Vorbeugen ist besser als heilen. Stellen Sie also sicher, dass Ihr Unternehmen jederzeit angemessen auf ein viel höheres Volumen an Server-Traffic oder Netzwerkanfragen als nötig vorbereitet ist und dieses auch bewältigen kann. Der beste Zeitpunkt für Maßnahmen war gestern; der zweitbeste ist jetzt.
Mit Fastly an Ihrer Seite machen Sie DDoS-Angriffen den Garaus. Denn Fastlys global verteiltes und hochperformantes Netzwerk ist darauf ausgelegt, DDoS-Angriffe abzufedern. Unser gesamtes Netzwerk fungiert dabei als DDoS Scrubbing Center, damit Sie nie zwischen Security und Performance wählen müssen. Wir ermöglichen es Ihnen, in Echtzeit zu reagieren und böswillige Anfragen bereits auf unserer Edge herauszufiltern.
Sehen Sie sich dieses Video an, in dem unser hochleistungsfähiger Service zur Abwehr von DDoS-Angriffen in Aktion vorgestellt wird. Testen Sie Fastly noch heute kostenlos!