18
Aug
0 Keine Kommentare

Wie schütze ich mich vor einem DDoS-Angriff?

In unserem ersten Artikel zum Thema DDoS-Angriff haben wir euch bereits die Grundlagen erläutert und Tipps gegeben, wie ihr euch gegen eine bereits begonnene Attacke zur Wehr setzen könnt. Heute beschäftigen wir uns mit präventiven Maßnahmen zur Abwehr. Dabei geht es um Sicherheitsmechanismen, die euch helfen, euren Shop auf einen zukünftigen DDoS-Angriff vorzubereiten.

Intrusion Detection System (IDS)/Intrusion Prevention System (IPS)

Ein Intrusion Detection System (IDS, deutsch: Angriffserkennungssystem) hat im Wesentlichen die Aufgabe, einen begonnen DDoS-Angriff zu identifizieren. Dazu nutzt es bereits bekannte Angriffsmuster zum Abgleich.

Es gibt grundsätzlich zwei Arten von IDS, die sich in den verwendeten Vergleichsdaten unterscheiden. Das eine IDS ist auf dem System installiert und nutzt die Informationen aus den Log- und Systemdateien. Das andere basiert hingegen auf dem Netzwerk, wertet dessen Datenpakete aus und vergleicht diese mit bekannten Strukturen. Zusätzlich gibt es noch hybride Varianten, die sowohl Netzwerk als auch System-basiert sind und entsprechende Stärken kombinieren, ohne alle Schwächen aufzuweisen. Ein ganz besonderer Vorteil also, vor allem da die beiden unterschiedlichen IDS jeweils über spezifische Nachteile verfügen.

Schaltet ein DDoS-Angriff nämlich gezielt das System aus, auf dem auch das IDS installiert ist, geht der Schutz völlig verloren. So kann eine präzise Attacke die komplette Verteidigung lahmlegen. Überwacht das IDS hingegen das Netzwerk, ist es besonders anfällig für Volumen-Attacken. Überlastet ein DDoS-Angriff nämlich die Bandbreite, kann das IDS nicht mehr alle eingehenden Daten kontrollieren und lässt so auch schädlichen Traffic durch.

fb_post_ddos_ips_ids

Grundsätzlich ist das Verfahren beider Systeme jedoch gleich: Anhand vorliegender Signaturen filtert das IDS eingehenden Traffic. Stimmen eingehende Daten mit einem der als schädlich bekannten Muster überein, löst das IDS Alarm aus. So kann der Webmaster entsprechende Schritte einleiten. Verfügt er gar über ein Intrusion Prevention System (IPS, deutsch Attacken-Präventionssystem), kann dieses entsprechende Maßnahmen auch selbst umsetzen, zum Beispiel den gesamten Traffic blocken.

IDS und IPS leiden an einem grundsätzlichen Problem: Da sie mit vorliegenden Mustern arbeiten, können sie nur einen bereits bekannten DDoS-Angriff als solchen erkennen. Neue Attacken oder ungewöhnliche Angriffswellen rutschen so leicht durch den Filter. Hier ist auch eine aktive Community notwendig, die Muster vergangener Attacken an Dienstleister von IDS und IPS weiterleitet. Nur so kann es zu einer dauerhaften Verbesserung der Systeme kommen.

Dem Problem wurde vielfältig versucht zu begegnen: Durch Ausweitung auf ähnliche Muster oder die generelle Meldung der Abweichung vom Normalzustand steigt die Rate von Alarmen und so die generelle Sicherheit. Allerdings werden so auch mehr harmlose Abweichungen gemeldet. Dadurch entstehen ein großer Spielraum zwischen unnötigen Warnungen und der Gefahr eines unentdeckten DDoS-Angriffs.

DDoS-Appliance

Bei einem DDoS-Appliance handelt es sich um ein peripheres Gerät, welches zwischen Netzwerk und Server geschaltet wird und speziell zur Abwehr von DDoS-Angriffen konzipiert ist. In einem ersten Testlauf lernt es den normalen Traffic kennen, wodurch es später Abweichungen und Unregelmäßigkeiten zuverlässig erkennen kann. Der Nutzer kann den Verkehr dabei nicht nur in Echtzeit überwachen, sondern auch Verhaltensweisen bei ungewöhnlichen Dateneingängen festlegen. Je nach Gerät kann schädlicher Traffic dann gefiltert oder in eine Sandbox umgeleitet werden, sodass der DDoS-Angriff zwar ins Leere läuft, die Angreifer davon jedoch nichts merken. Regelmäßige Reports halten den Shopbetreiber dabei auf dem Laufenden und lassen ihn einen DDoS-Angriff frühzeitig erkennen.

Der Vorteil eines DDoS-Appliances liegt auf der Hand: Als externes Gerät kann es nicht durch einen gezielten DDoS-Angriff ausgeschaltet werden. Manche Geräte sind durch Überspannungsschutz und Notfall-Akku zusätzlich gegen Stromausfälle und andere Gefahren gesichert. Hinzu kommt bei höherwertigen Modellen im äußersten Notfall noch ein gesichertes Abschalten des Geräts. In diesem Fall werden temporäre Log-Dateien und andere Daten im eigenen Speicher gesichert, die beim Hochfahren wieder zur Verfügung stehen. Zumindest solange, bis sie durch das Gerät überschrieben werden.

Bei Interesse an einem DDoS-Appliance muss sich an einen entsprechenden Fachmann gewandt werden, der Installation und Anpassung übernimmt. Eine Dienstleistung zum Schutz vor DDoS-Angriffen, die teilweise auch von Cloud-Betreibern angeboten wird.

Content Delivery Network (CDN)

Dabei handelt es sich um einen Schutzmechanismus vor einem DDoS-Angriff, den wir im ersten Teil bereits kurz erläutert haben. Hier sollen aber noch einige weiterführende Informationen und Tipps bei der Auswahl eines Anbieters folgen.

Bei einem Content Delivery Network (CDN, deutsch: Inhalt-Auslieferungs-Netzwerk) handelt es sich um mehrere Server, die über das Internet verbunden sind. Aufgabe des Netzwerkes ist es, die Bereitstellung von Inhalten durch Verbesserung der Performance oder Einsparungen beim Verbrauch der Bandbreite zu optimieren. Dazu gibt es einen Kern-Server, dessen Inhalte auf andere Server kopiert werden, die dann ebenfalls Anfragen bestimmter Inhalte beantworten können. So verteilt sich die Belastung auf mehrere Server.

Dies kann auch zur Abwehr eines DDoS-Angriffs genutzt werden. Nämlich dann, wenn auf eine Überlastung der Server durch hohe Datenvolumina (z. B. bei einer Application-Attacke) abgezielt wird. Die vielen Anfragen werden einfach auf das CDN verteilt und es kommt nicht zu einer Überlastung. Dass es sich dabei eher um eine kurzfristige Möglichkeit zum Schutz gegen einen DDoS-Angriff handelt, hatten wir im letzten Artikel bereits erwähnt. Vorübergehend entgeht man durch das CDN zwar der Überlastung des eigenen Angebots, verhindert den eigentlichen Angriff aber nicht.

DDoS CDN

Bei der Auswahl eines Anbieters sollte zunächst auf die Lage der Server und die Höhe der umleitbaren Bandbreite geachtet werden. Bei allzu großen Distanzen zum Server-Standort können sich Verzögerungen im Traffic ergeben. Die Bandbreite gibt an, wie viel Datenvolumen das Netzwerk insgesamt aufnehmen kann. Außerdem sollte unbedingt das Bezahlmodell des Anbieters berücksichtigt werden. Wird hier statt einer Flatrate ein Bezahlen pro tatsächlich umgeleitetem Volumen genutzt, sollten Shopbetreiber aufpassen: Bei einem DDoS-Angriff mit hohem Datenverkehr, bei großen Firmen oder allgemein im Nachfrage-intensiven Weihnachtsgeschäft kann der tatsächliche Preis dann nämlich sehr schnell in die Höhe steigen.

DDoS Cloud Schutz

Ein Cloud-Schutz findet, wie der Name schon sagt, bei Cloud-Systemen Anwendung. Dieser Schutz gegen einen DDoS-Angriff entsteht durch die Errichtung eines zusätzlichen DNS-Eintrages (Domain Name System), der statt des eigentlichen Servers abgefragt wird. So wird bei Eingabe einer URL in die Browserzeile nicht gleich der eigentliche Host abgerufen, sondern zunächst die neu erstellte, virtuelle Adresse. Diese wird dann zum vorherigen Filtern des Traffic genutzt, bevor er an die richtige Adresse weitergeleitet wird. Schädliche Anfragen eines DDoS-Angriffs können so im Vorfeld aussortiert werden, was allerdings auf Kosten der Verbindungsgeschwindigkeit geschieht.

Ansprechpartner für einen solchen Schutz gegen einen DDoS-Angriff ist der jeweilige Cloud-Dienstleister. Gegen einen Aufpreis kann ein solcher Schutz integriert werden, teilweise ist er im Grundmodell schon enthalten. Dies resultiert vermutlich aber in einer höheren Grundgebühr.

Cloud Schutz

DDoS VAC

VAC bezeichnet die Lösung für DDoS-Angriffe des Internet-Hosting-Unternehmens OHV. Das VAC ist eine alternative Infrastruktur, die eingehende Daten durch mehrere Sicherheitsmaßnahmen filtert und auswertet. Die Bestandteile sind eine vorgelagerte Firewall, ein anschließendes Firewall-Netzwerk und die beiden Netzwerke Arbor und Tilera. All diese vier Komponenten übernehmen die zusätzliche Überwachung, Auswertung und Filterung des eingehenden Traffics nach diversen Kriterien und Maßstäben. Unerwünschte Anfragen oder gar ein DDoS-Angriff können also an vier möglichen Stellen erkannt und abgewehrt werden.

Besonders vorteilhaft ist dabei die mehrfache Filterung. Vermeintlich schädliche Anfragen werden nicht direkt abgeblockt, sondern durchlaufen die vier Bestandteile des VAC einfach mehrfach. Mehrere Testzyklen sorgen also für eine verhältnismäßig genaue Identifizierung und Bewertung eingehender Daten.

DDoS-Angriff: Was ist der beste Schutz?

Das prinzipielle Problem beim Schutz vor DDoS-Angriffen ist die ständige Weiterentwicklung der Attacken. Neue Variationen sorgen regelmäßig dafür, dass Referenzmodelle oder Vergleichsmuster relativ schnell veralten und keinen ausreichenden Schutz gewährleisten. Auch ist hier die Mitarbeit von Betroffenen gefragt: Nur wenn zuvor unbekannte Angriffsmuster an Hersteller oder Dienstleister übermittelt werden, können neue Schutzmaßnahmen für die Zukunft integriert werden.

Ich persönlich empfehle den VAC. Die vielen Filter sorgen für höchste Sicherheit und werfen nicht gleich schädlichen Traffic raus. Vielfache Filterung und Überprüfung sorgt für größtmögliche Sicherheit vor einem DDoS-Angriff. Zudem ist die einfache Implementierung ein großer Vorteil: Shopbetreiber müssen nur ihr Interesse am Dienst anmelden, der Anbieter übernimmt dann die Einrichtung. Zusätzlich kann so von einer ausführlichen Überwachung und Auswertung der Daten ausgegangen werden, was zur kontinuierlichen Verbesserung des Schutzes vor einem DDoS-Angriff führt. Allerdings handelt es sich beim VAC auch um die teuerste der vorgestellten Varianten.

Kleineren Firmen mit geringerem Kunden-, Daten- und Umsatzvolumen kann schon der Cloud-Schutz als Grundbaustein genügen. Laienhafte DDoS-Angriffe werden so zuverlässig und zu einem verhältnismäßig kleinen Preis ausgefiltert.

Steven Matz

Steven Matz

Unser Linguist in Programmiersprachen Steven Matz blickt auf 6 Jahre Erfahrung im Bereich Front-End-Entwicklung zurück. Von ihm erhaltet ihr alle Infos rund um Programmierung und Technik – fachgerecht für den Endnutzer formuliert.

More Posts