Sicherheitstipps

DDoS-Angriffe wirksam abwehren

Distributed-Denial-of-Service-Attacken (DDosS) sind ein Ärgernis für Unternehmen, die auf Webapplikationen angewiesen sind. Wir zeigen, wie Sie sich vor diesen Cyber-Angriffen schützen können.

Wer DDoS-Angriffe abwehren möchte, sollte folgende Punkte beachten:

Schutzbedarf analysieren

Bevor Sie sich für eine Lösung zum Schutz vor DDoS-Angriffen entscheiden, sollten Sie den Schutzbedarf Ihres Unternehmens analysieren. Entscheidend ist dabei, welche übers Internet erreichbaren Systeme Ihr Unternehmen einsetzt, wie kritisch die dazugehörigen Geschäftsprozesse sind und welche Auswirkungen ihr Ausfall hätte. Ein durch eine DDoS-Attacke verursachter System- oder Netzausfall dauert durchschnittlich zwölf Stunden. Was konkret bedeutet das fürs Geschäft - etwa wenn die Website einen Tag lang nicht erreichbar ist? Welche Kosten würden Ihrem Unternehmen dadurch entstehen?

Art des Angriffs berücksichtigen

Auch die unterschiedlichen Arten von DDoS-Attacken spielen bei der Schutzbedarfsanalyse eine Rolle. Neben großen, volumetrischen Angriffen, bei denen der Angreifer die Leitung so lange bombardiert, bis sie voll ist, kommen sogenannte Multi-Vector-Taktiken immer häufiger vor, bei denen verschiedene Unternehmensplattformen gleichzeitig mit Anfragen bombardiert werden.

Schutz vor DDoS-Angriffen "in the Cloud": Das linke Bild zeigt, wie der normale Traffic bei der "On-Demand"-Variante eingeht: Es sind zwar Vorbereitungen wie der GRE-Tunnel eingerichtet, aber der gesamte Datenverkehr läuft direkt beim Unternehmen auf. Das rechte Bild zeigt, wie das sogenannte BGP-Routing im Angriffsfall geändert wird: Der Traffic zum Unternehmensnetz wird nicht mehr direkt an das Unternehmen geschickt, sondern zum nächstgelegenen Scrubbing Center geroutet. Sauberer Traffic wird über den GRE-Tunnel vom Scrubbing Center zum Unternehmen geschickt.
Schutz vor DDoS-Angriffen "in the Cloud": Das linke Bild zeigt, wie der normale Traffic bei der "On-Demand"-Variante eingeht: Es sind zwar Vorbereitungen wie der GRE-Tunnel eingerichtet, aber der gesamte Datenverkehr läuft direkt beim Unternehmen auf. Das rechte Bild zeigt, wie das sogenannte BGP-Routing im Angriffsfall geändert wird: Der Traffic zum Unternehmensnetz wird nicht mehr direkt an das Unternehmen geschickt, sondern zum nächstgelegenen Scrubbing Center geroutet. Sauberer Traffic wird über den GRE-Tunnel vom Scrubbing Center zum Unternehmen geschickt.
Foto: BT

Beide Angriffsarten setzen voraus, dass das System des Angreifers über mehr Bandbreite verfügt als das des Opfers. Oft handelt es sich dabei um Ablenkungsmanöver: Während die IT-Abteilung versucht, der sosogenannten Flooding der Internet-Verbindung Herr zu werden, verschafft sich der Angreifer beispielsweise über eine andere Schwachstelle im Netzwerk Zugriff auf Firmendaten.

Aber auch Angriffe mit niedrigen Bandbreiten können Schaden anrichten. Ein Beispiel sind Connection-Angriffe, bei denen der Angreifer den ständigen Aufbau von TCP-Verbindungen an das Zielsystem simuliert. Zunehmend kommen auch Angriffe auf Applikationsebene vor, beispielsweise indem der Angreifer permanent versucht, sich mit falschen Log-in-Daten anzumelden. Da das Backend ununterbrochen damit beschäftigt ist, die Log-in-Informationen zu überprüfen, bricht die Anwendung irgendwann zusammen. Angriffe auf Applikationsebene erfordern weniger Bandbreite. Dadurch können sie langsamer durchgeführt werden und sind wesentlich schwerer zu erkennen.

Absicherung evaluieren

Um sich gegen DDoS-Angriffe abzusichern, benötigen Sie einen Schutz im Internetzugang, der den Angriffs-Traffic filtert und nur "saubere" Daten weiterleitet. Je nach Schutzbedarf empfehlen sich hier die Varianten "On-Premise" oder "in the Cloud". Wenn Sie ganz sichergehen wollen, investieren Sie in eine Lösung, die beide Varianten kombiniert.

  • On-Premise: Hier wird eine Appliance im Internetzugang installiert - entweder direkt in Ihrem Unternehmen oder im Backbone Ihres Providers. Diese Appliance filtert einen Großteil des Traffics heraus - ähnlich wie ein spezialisierter Virenscanner. Der Vorteil: Der Schutz greift sofort und erfordert keine Änderungen am Netzwerk. Allerdings eignet sich die On-Premise-Variante nicht für große volumetrische Angriffe. Hier ist der Upstream-Provider schnell so ausgelastet, dass der Angriffs-Traffic nicht mehr bis zur Appliance gelangt.

  • In the Cloud: Mit dieser Variante lassen sich Angriffe möglichst nah an ihrem Ausgangspunkt abfangen und so ein Großteil der Angriffe ausfiltern. Je nachdem wie umfassend der Schutz sein soll, ist die Cloud-Variante in zwei Optionen erhältlich: Zum Schutz von einzelnen Servern wird der DNS-Eintrag des Unternehmens im "Scrubbing Center" des Providers in eine virtuelle Adresse umgewandelt (Proxy Service). Eingehender Traffic wird geprüft und nur, wenn er "sauber" ist, an das Unternehmen weitergeleitet. Um ein Netz komplett abzusichern, wird der Datenverkehr über das Routing-Protokoll BGP (Border Gateway Protocol) an das Scrubbing Center übertragen; der saubere Traffic wird über einen GRE-Tunnel (Generic Routing Encapsulation) an das Unternehmen weitergeleitet. Mit Cloud-Lösungen lassen sich auch große Angriffe wirksam abfangen. Sie werden meist als On-Demand-Lösungen angeboten: Sobald der Verdacht einer DDoS-Attacke besteht, veranlasst das Unternehmen eine entsprechende Umleitung seiner Daten. Der Nachteil: Es sind manuelle Eingriffe in die Netzwerkkonfiguration erforderlich. Dadurch greift der Schutz erst mit einigen Minuten Verzögerung. Es gibt aber auch Always-on-Lösungen, bei denen die Daten permanent durch das Scrubbing Center geleitet werden.

  • Zur zusätzlichen Absicherung dienen spezialisierte Monitoring-Lösungen, die den Netzwerkverkehr auf typische Muster von DDoS-Attacken untersuchen.