Die Bedrohung durch DDoS-Angriffe und wie man sich schützt
Lassen Sie nicht zu, dass ein DDoS-Angriff (Distributed Denial-of-Service) Ihren Geschäftsbetrieb lahmlegt und zu finanziellen Einbußen sowie Reputationsschäden führt. Ein Cloud-basierter Schutz vor solchen Angriffen ist unerlässlich, um zu verhindern, dass Sie zum Opfer von Hackern werden.
Cyberkriminelle sind heutzutage in der Lage, mit relativ einfachen Mitteln und zugänglichen Malware-Tools, gezielte Angriffe durchzuführen. Dabei sind nicht nur große Unternehmen betroffen, sondern auch kleinere Akteure wie persönliche Blogs, E-Commerce-Shops und KMUs geraten immer mehr in den Fokus.
Eine besonders gefährliche und zunehmend häufige Angriffsart ist der DDoS-Angriff. Hierbei wird ein Zielsystem mit einer Flut von Anfragen von einer Vielzahl kompromittierter Systeme überlastet. Diese Systeme können Server, Heimcomputer, IoT-Geräte oder alle anderen mit dem Internet verbundenen Geräte sein. Der daraus resultierende Datenstau führt dazu, dass das angegriffene System nicht mehr ordnungsgemäß funktioniert.
Da die Angriffe von vielen verschiedenen Quellen ausgehen, ist es sehr schwierig, die Angreifer zu identifizieren und den Angriff zu stoppen. DDoS-Attacken sind unberechenbar und die neuesten Angriffe haben eine erschreckende Größenordnung erreicht, die sich in einem Bereich von 800 bis 900 Gbit/s bewegt.
Es gibt verschiedene Techniken, die Angreifer verwenden, um DDoS-Angriffe auf Ihr Online-Geschäft durchzuführen. Einige der gängigsten Methoden sind:
- UDP-Fragmentierung
- DNS-, NTP-, UDP-, SYN-, SSDP-, ACK-Fluten
- CharGEN-Angriffe
- TCP-Anomalien
Die Motive für solche Angriffe können vielfältig sein. Die Opfer werden in der Regel gezielt ausgesucht und nicht zufällig ausgewählt. Möglicherweise möchte ein Wettbewerber Sie aus dem Geschäft drängen oder jemand ist mit Ihren veröffentlichten Inhalten nicht einverstanden. Manchmal reicht schon eine kleine Ursache, um jemanden dazu zu bewegen, in einen Angriff auf Ihre Webseite zu investieren.
Es gibt Online-Portale, die Echtzeit-Cyberangriffe visualisieren, was die ständige Bedrohungslage verdeutlicht.
Wie Sie sich vor DDoS-Angriffen schützen können
Wenn Sie ein kleines Unternehmen mit einer kleinen Webseite, einen Blog oder eine persönliche Homepage betreiben, sollten Sie unbedingt Vorkehrungen treffen, um nicht Opfer eines DDoS-Angriffs zu werden.
Eine Möglichkeit ist die Beauftragung eines MSSP (Managed Security Service Provider), der sich um alle Arten von Cyberbedrohungen kümmert. Dieser kann Dienstleistungen wie Intrusion Detection, Schwachstellenscans, Antivirendienste sowie die Bereitstellung von Firewall- und VPN-Technologien anbieten. Ein guter MSSP kann Ihnen Sicherheit bieten, ist aber oft mit hohen Kosten verbunden. Wenn Sie bereits die meisten Sicherheitsvorkehrungen getroffen haben und nur Ihre Webseite vor DDoS-Angriffen schützen müssen, können Sie auch DDoS Protection as a Service (DPaaS) von Ihrem ISP oder Ihrem Hosting-Provider mieten.
Wenn Sie eine Do-it-yourself-Lösung bevorzugen, müssen Sie zunächst die Erkennung und Abwehr von DDoS-Angriffen implementieren. Dazu müssen Sie den eingehenden Datenverkehr Ihrer Webseite überwachen und nach Mustern suchen, die auf einen Angriff hindeuten könnten. Ein plötzlicher Anstieg des Datenverkehrs kann ein Warnsignal sein. Allerdings müssen Sie erst herausfinden, ob es sich um einen Anstieg des legitimen Benutzerverkehrs oder um die Symptome eines DDoS-Angriffs handelt. Dies ist nicht immer einfach.
Sobald Sie einen tatsächlichen DDoS-Angriff erkennen, können Sie die IP-Adressen identifizieren, die den illegalen Datenverkehr senden und diese mithilfe Ihres Hosting-Providers oder eines Geräts zur Filterung des Datenverkehrs, wie z.B. einem Router oder einer Firewall, blockieren. Einfach, oder?
Wenn man bedenkt, dass ein typischer DDoS-Angriff viele Millionen Datenpakete pro Sekunde umfasst, wird die DIY-Option schnell unpraktikabel. Daher ist es ratsam, einen erschwinglichen, Cloud-basierten DDoS-Schutzdienst in Anspruch zu nehmen.
Wie funktionieren DDoS-Schutzdienste?
Eine effektive Anti-DDoS-Lösung sollte folgende Aufgaben übernehmen: Erkennung, Umleitung, Filterung und Analyse.
Die Erkennung bedeutet, Abweichungen im Datenverkehr zu identifizieren, die auf einen DDoS-Angriff hindeuten könnten. Eine wirksame Anti-DDoS-Lösung sollte in der Lage sein, den Angriff so schnell wie möglich zu erkennen und Fehlalarme zu vermeiden.
Die Umleitung zielt darauf ab, den Datenverkehr umzuleiten, entweder um ihn zu verwerfen oder zu filtern. Die Filterung umfasst das Aussortieren des DDoS-Verkehrs und die Identifizierung als bösartig. Eine effektive Anti-DDoS-Lösung wird dies tun, ohne die Erfahrung der legitimen Benutzer zu beeinträchtigen.
Die Analyse beinhaltet die Überprüfung der Verkehrsprotokolle, um Informationen über Angriffe zu sammeln, damit sowohl der Angreifer identifiziert als auch zukünftige Erkennungsaktivitäten verbessert werden können.
Beim Vergleich von Anti-DDoS-Lösungen ist die Netzwerkkapazität ein wichtiger Faktor, den Sie berücksichtigen sollten. Sie wird in Gbit/s (Gigabit pro Sekunde) oder Tbit/s (Terabit pro Sekunde) gemessen und gibt an, wie viel Angriffsintensität der Schutz aushält. Die Cloud-basierten Lösungen bieten in der Regel eine Netzwerkkapazität in der Größenordnung von Terabit pro Sekunde, was für die meisten Webseiten mehr als ausreichend ist.
Weitere wichtige Leistungsindikatoren sind die Weiterleitungsrate und die Zeit bis zur Schadensbegrenzung. Die Weiterleitungsrate gibt die Fähigkeit der Lösung zur Verarbeitung von Datenpaketen in Millionen von Paketen pro Sekunde (Mpps) an. Angriffe erreichen üblicherweise 300-500 Gbit/s, können aber auch bis zu 1 Tbit/s skalieren. Die Verarbeitungskapazität der Anti-DDoS-Lösung muss darüber liegen, um effektiv zu sein.
Die Zeit bis zur Schadensbegrenzung hängt von der Methode ab, die der Anbieter zur Erkennung eines Angriffs anwendet. Eine Always-On-Lösung mit präventiver Erkennung sollte in der Lage sein, eine nahezu sofortige Schadensbegrenzung zu bieten. Dieser Aspekt muss jedoch im realen Betrieb getestet werden.
Selbstverständlich müssen all diese Überlegungen mit den Kosten abgewogen werden. Hier sind einige der besten Cloud-basierten DDoS-Erkennungs- und Schutzlösungen:
Akamai
Kona DDoS Defender, die Cloud-basierte Lösung von Akamai, wurde entwickelt, um die Bedrohung durch DDoS-Angriffe zu eliminieren. Sie kombiniert einen unterbrechungsfreien Dienst eines Security Operations Centers (SOC) mit der intelligenten Plattform von Akamai, die hohe Skalierbarkeit bietet und den kontinuierlichen Betrieb der Webseite auch im Falle eines Angriffs gewährleistet.
Die intelligente Plattform von Akamai ist weltweit verteilt und verarbeitet 15 % bis 30 % des gesamten globalen Webverkehrs. Sie bietet die notwendige Skalierbarkeit, um selbst den größten DDoS-Angriffen standzuhalten. Bei einem Angriff lenkt Kona DDoS Defender automatisch SYN- oder UDP-Fluten um und absorbiert HTTP GET- und POST-Fluten am Rand des Netzwerks, wodurch verhindert wird, dass diese zu den Kernanwendungen gelangen.
G-Core Labs
Der globale DDoS-Schutzdienst von G-Core Labs schützt Ihre Webseite, Server und Anwendungen vor komplexen DDoS-Angriffen. Er bietet Schutz auf drei Ebenen – der Netzwerkschicht (L3), der Transportschicht (L4) und der Anwendungsschicht (L7).
Die Echtzeit-Technologie zur intelligenten Datenverkehrsfilterung ermöglicht es dem DDoS-Schutz von G-Core Labs, statistische, signaturbasierte, technische und verhaltensbezogene Faktoren gleichzeitig zu analysieren. Auf diese Weise kann die Lösung nur schädliche Sitzungen genau erkennen und unterbrechen, anstatt IP-Adressen zu blockieren.
Sie erhalten Echtzeit-Bot-Schutz, um Werbebetrug, Parsing und den Diebstahl personenbezogener Daten zu verhindern. Das System schützt Sie auch vor Schwachstellen-Exploits und manuellem Hacking Ihrer Webseite, ohne dass SDKs von Drittanbietern verwendet oder der App-Code geändert werden muss. Diese Cloud-Plattform verfügt über Verkehrsfiltersysteme in Europa, Nordamerika, Südamerika, Asien und Australien und bietet mindestens 160 Gbit/s Datenverkehr für jeden Knoten, wobei die gesamte effektive Filterbandbreite 1,5+ Tbit/s beträgt.
G-Core Labs bietet Sicherheitstools wie technische Analysen für jede Anfrage, Ressourcenanalyse in Echtzeit, Erkennung verhaltensbasierter Faktoren, Abfrageverifizierung und mehr. Es unterstützt auch HTTPS, gibt Ihre SSL-Zertifikate nicht preis und bietet Fehlalarmraten von unter 0,01 %. Das Unternehmen bietet eine SLA mit einem Niveau von 99,9 %. Sie erhalten außerdem Lastverteilung und rund um die Uhr technischen Support.
AppTrana
AppTrana bietet sofortigen Schutz vor identifizierten Schwachstellen und gewährleistet einen Rund-um-die-Uhr-Schutz vor DDoS und neuen Sicherheitsbedrohungen.
- Infrastrukturschutz (Schicht 3 und 4)
- Webseiten-Schutz (Schicht 7)
- Vollständig verwalteter DDoS-Schutz mit Überwachung rund um die Uhr und unbegrenzten, benutzerdefinierten Regelaktualisierungen durch Sicherheitsexperten in Echtzeit, basierend auf Warnungen und vor Ort gefundenen Schwachstellenrisiken, um die Verfügbarkeit der Webseite sicherzustellen.
Die globale Threat Intelligence-Plattform von AppTrana gewährleistet, dass der Schutz kontinuierlich aktiv, genau und auf dem neuesten Stand ist, um die neuesten Bedrohungen abzuwehren.
AppTrana DDoS-Schutz ist in den AppTrana Advanced- und Premium-Plänen verfügbar. Sie können mit dem Testplan beginnen, um die Dienste des Anwendungsscannens, der Webanwendungs-Firewall und des CDN zu nutzen. Das Onboarding erfolgt innerhalb von Minuten ohne Ausfallzeiten während des Übergangs.
Link11
Link11 ist ein führender IT-Sicherheitsanbieter mit Schwerpunkt auf DDoS-Schutz für Webseiten und IT-Infrastrukturen. Die Cloud-basierte Schutzlösung garantiert durch den Einsatz von künstlicher Intelligenz jederzeit Verfügbarkeit.
Das Unternehmen bietet mit seinem patentierten 360-Grad-Schutz zwei Lösungen gegen Distributed-Denial-of-Service-Angriffe (DDoS), um entweder kritische Netzwerkinfrastrukturen zu schützen oder Angriffe auf Webanwendungen abzuwehren.
Angriffe werden bei bekannten Vektoren mit einer Reaktionszeit von Null und bei unbekannten Vektoren in weniger als 10 Sekunden eingedämmt. Die Lösung bietet nicht nur unbegrenzten Schutz in Bezug auf die Angriffsdauer, sondern läuft auch vollautomatisch als permanenter Dienst, um menschliche Fehler zu eliminieren.
Darüber hinaus betreibt Link11 einen eigenen internationalen Service und eine 24/7-Hotline, um Kunden auch im Notfall einen unkomplizierten und schnellen Einrichtungsprozess zu ermöglichen. Das Link11 Security Operation Center (LSOC) veröffentlicht regelmäßig Berichte über neue Risiken und Trends in der DDoS-Bedrohungslandschaft.
Sucuri
Sucuri bietet einen DDoS-Abwehrdienst, der unzulässige Anfragen und Datenverkehr automatisch erkennt und blockiert. Der Sucuri-Dienst wird von einem Cloud-basierten Netzwerk unterstützt, das Angriffe auf Webanwendungen oder große Netzwerke abwehren kann. Mithilfe von maschinellem Lernen und der Korrelation von Daten über sein globales Netzwerk ist Sucuri in der Lage, eine Webseite vor noch nicht entdeckten Sicherheitsbedrohungen zu schützen.
Der DDoS-Abwehrdienst ist Teil einer All-in-one-Webseiten-Sicherheitsplattform, die unter anderem Malware-Entfernung, Hacker-Bereinigung, Blacklist-Überwachung und Firewall umfasst. Die drei Pläne bieten unterschiedliche Servicelevel, von Basic bis Enterprise, und ihre Preise reichen von 199,99 bis 499,99 US-Dollar pro Jahr.
Netzscout
Über das Arbor Threat Mitigation System (TMS) und das Availability Protection System (APS) bietet Netzscout eine Produktpalette an, die in Verbindung mit seiner Arbor Sightline-Lösung arbeitet, um bis zu 140 Tbit/s an DDoS-Angriffsdatenverkehr chirurgisch aus dem Netzwerk des Kunden zu entfernen, ohne die Kernnetzwerkdienste zu beeinträchtigen. Das System ist für IPv4- und IPv6-Infrastrukturen geeignet und kann DDoS-Angriffe über mobile Apps stoppen und die Leistung und Verfügbarkeit mobiler Netzwerke schützen.
Arbor APS bietet viele Bereitstellungsoptionen, darunter eine On-Premise-Appliance, eine virtualisierte Lösung und ein Managed Service. Die Lösung bietet dank ihrer eigenen Atlas-Infrastruktur, die ein Drittel des gesamten Internetverkehrs überwacht, proaktiven Schutz, um bekannte und neue Bedrohungen zu stoppen, bevor sie die Anwendungsverfügbarkeit beeinträchtigen.
Cloudflare
Die Always-On-DDoS-Schutzlösung von Cloudflare basiert auf der Intelligenz seines ständig lernenden globalen Netzwerks. Dieses Netzwerk, genannt Anycast, erstreckt sich über mehr als 190 Städte, wobei alle Sicherheitsdienste an jedem Point of Presence ausgeführt werden. Diese Infrastruktur ermöglicht Cloudflare, einen mehrschichtigen Sicherheitsansatz zu bieten, der viele DDoS-Funktionen (Schicht 3/4/7, DNS-Verstärkung/-Reflexion, SMURF, ACK usw.) in einem einzigen Dienst konsolidiert.
Aus Anwendersicht lässt sich die DDoS-Lösung über eine intuitive Oberfläche steuern, die es Ihnen ermöglicht, Online-Eigenschaften mit wenigen Klicks schnell zu sichern. Die Cloudflare-Tarife decken eine unbegrenzte Abschwächung ab, unabhängig von der Größe des Angriffs, ohne Strafen für Spitzen und ohne zusätzliche oder versteckte Kosten.
StackPath
Die von StackPath eingesetzten DDoS-Abwehrtechnologien decken alle Angriffsmethoden ab: UDP-, SYN- und HTTP-Fluten sowie alle Schichten: Schichten 3/4 (Netzwerk) und Schicht 7 (Anwendung). Die gesamte Netzwerkkapazität von 65 Tbit/s garantiert, dass das globale Netzwerk von StackPath selbst die größten DDoS-Angriffe abwehren und die Auswirkungen auf die angegriffenen Onlinedienste minimieren kann.
Das StackPath-Kundenportal bietet Echtzeitdaten und Einblicke, die es dem Benutzer ermöglichen, die Vorgehensweise der Angreifer zu analysieren und Richtlinien im Handumdrehen zu erstellen. Fortgeschrittene Benutzer können die DDoS-Schwellenwerteinstellungen auch über ein Bedienfeld anpassen, um den Schutz an spezifische Bedürfnisse anzupassen.
Der DDoS-Schutz ist Teil eines breiten Portfolios von Edge-Services, die von StackPath angeboten werden, darunter Edge-Computing, Edge-Bereitstellung und Edge-Überwachung.
Alibaba
Anti-DDoS Pro von Alibaba kann großvolumige Angriffe mit bis zu 10 Tbit/s abschwächen und alle Protokolle TCP/UDP/HTTP/HTTPS unterstützen.
Sie können Anti-DDoS verwenden, um nicht nur in Alibaba gehostete, sondern auch in AWS, Azure, Google Cloud usw. gehostete Anwendungen zu schützen. Wenn Ihre Anwendung in China gehostet wird, gibt es nur wenige CBSP, die Sicherheitsschutz bieten, außer Alibaba, der einer davon ist.
Es geht nicht nur darum, das Risiko zu mindern, sondern die Alibaba Anti-DDoS-Lösung kann helfen, die Quelle von Angriffen aufzuspüren. Die Gebühren basieren auf der Nutzung, und Sie haben die volle Kontrolle, um die Strategien für Ihr Unternehmen anzupassen und die Kosten zu senken.
AWS Shield
Amazon bietet einen DDoS-Schutzdienst namens AWS Shield an, speziell für Anwendungen, die auf AWS gehostet werden. Der Schutzdienst bietet ständige Erkennung und automatische Online-Abwehr, die ohne AWS-Support genutzt werden können.
Amazon bietet AWS Shield in zwei Serviceplänen an: Standard und Advanced. AWS Shield Standard ist für alle AWS-Kunden ohne zusätzliche Kosten verfügbar. Es schützt vor den häufigsten DDoS-Angriffen, die im Allgemeinen in den Schichten 3 oder 4 des Netzwerkstapels stattfinden. Die Advanced-Version bietet Erkennung und Minderung komplexer, groß angelegter DDoS-Angriffe, zusammen mit Echtzeit-Visualisierung und AWS WAF, einer Firewall für Webanwendungen. AWS Shield Advanced bietet außerdem ständigen Zugriff auf das AWS DDoS Response Team (DRT) und Schutz vor DDoS-Spitzen.
Cloud Armor
Wenn Sie eine Anwendung in der Google Cloud hosten, sollten Sie Cloud Armor ausprobieren. Die einzige Einschränkung besteht darin, dass es nur mit Google Cloud HTTP(s) Load Balancer funktioniert.
Sie profitieren von der Google-Erfahrung, um deren Dienste wie Gmail, YouTube, Suche usw. zu schützen. Einige der Vorteile von Cloud Armor sind:
- Schutz vor Infrastruktur und Anwendung
- Erstellung benutzerdefinierter Regeln
- IP- und geobasierte Zugriffskontrollen
- Leistungsstarke Protokollierung auf Stackdriver
Incapsula
Incapsula bietet umfassenden Schutz gegen alle Arten von DDoS-Angriffen von den Schichten 3, 4 und 7.
- TCP SYN+ACK, FIN, RESET, ACK, ACK+PSH, Fragment
- UDP
- Slowloris
- Spoofing
- ICMP
- IGCP
- HTTP, Verbindung, DNS-Flut
- Brute-Force-Angriffe
- NXDomain
- Ping of Death
- Und vieles mehr…
Der Dienst ist als Always-On- oder On-Demand-Lösung verfügbar, um alle Angriffe zu erkennen und abzuwehren. Das Incapsula-Netzwerk besteht aus 44 Rechenzentren mit einer Kapazität von über 6 Tbit/s. Wenn Sie angegriffen werden und Notfallunterstützung benötigen, um das Risiko innerhalb von Minuten zu minimieren, können Sie sich an das „Unter Beschuss“-Team wenden: Unter Beschuss
Fazit
Wenn in Ihrer Nachbarschaft alle Häuser Alarmanlagen haben, sollte Ihr Haus ebenfalls eine haben, da es sonst ein bevorzugtes Ziel für Einbrecher wäre. Dasselbe gilt für Ihre Webseite oder Webanwendung: Sie sollten nicht zu den wenigen ohne DDoS-Schutz gehören, da Sie sonst schnell zum Ziel eines Angriffs werden. Eine Lösung gegen DDoS ist eine sinnvolle und notwendige Investition, wenn Sie möchten, dass Ihr Online-Geschäft langfristig erfolgreich ist.