Ansätze für einen effizienten, mehrschichtigen DDoS-Schutz

Die Landschaft der DDoS-Angriffe entwickelt sich ständig weiter. Vorbei sind die Zeiten der einfachen Bandbreitenüberflutung. Heutige Angreifer wenden ausgeklügelte Taktiken an, was den DDoS-Schutz zu einem komplexen, aber wichtigen Unterfangen macht.
In meinem letzten Blogbeitrag, A Guide to Building Modern Approaches to DDoS Protection, habe ich die wichtigsten Grundlagen für den Aufbau einer robusten DDoS-Abwehrstrategie erläutert. In diesem Beitrag befassen wir uns eingehend mit speziellen DDoS-Schutzlösungen und untersuchen die Techniken und Strategien für eine wirksame Verteidigung gegen moderne DDoS-Angriffe.
Traditioneller Schutz greift zu kurz
Herkömmliche DDoS-Schutzlösungen haben oft Probleme mit modernen Angriffen, da sie sowohl bei der Erkennung als auch bei der Schadensbegrenzung an ihre Grenzen stoßen.
Erkennungsgenauigkeit
Die flussbasierte Erkennung hängt von der Genauigkeit des Baselineings und der Granularität der Schwellenwerteinstellung ab. Manuelles Baselining und manuelle Konfiguration können zu Fehlalarmen führen oder den Angriff aufgrund von Saisonalität oder veralteten Baselines übersehen.
Aufgrund der Art der flussbasierten Erkennung können einige Angriffsarten, wie z. B. kurze Bursts oder neuartige Angriffsvektoren, übersehen werden, wenn sich die Überwachung auf das gesamte Netz und die Teilnetze erstreckt. Diese Angriffsarten können stattdessen auf einen bestimmten Dienst oder ein bestimmtes System abzielen, so dass das Gesamtvolumen möglicherweise nicht hoch ist. Ein weiterer schwieriger Angriffstyp ist der Carpet-Bombing-Angriff, insbesondere bei der Überwachung des Datenverkehrs auf einzelne IP-Adressen. Durch die Verteilung des böswilligen Datenverkehrs auf zahlreiche IP-Adressen (innerhalb eines bestimmten Opfernetzes) wird das Datenverkehrsaufkommen für eine einzelne IP-Adresse scheinbar gering gehalten, so dass eine Entdeckung vermieden wird.
Abschwächung Präzision
Herkömmliche Lösungen können komplexe Angriffe übersehen und haben Schwierigkeiten, gegen DDoS-Angriffe mit mehreren Vektoren vorzugehen. Wie Sie wissen, erfordern verschiedene DDoS-Angriffe spezifische Gegenmaßnahmen, um ihre Auswirkungen abzuschwächen. Die Prüfung von Protokollanomalien eignet sich beispielsweise hervorragend für einfache Flood-Angriffe wie TCP XMASS-Angriffe, SYN-FIN-Angriffe und Ping-of-Death-Angriffe (PoD). Sie funktioniert jedoch nicht bei TCP RST-Flood- und UDP-Flood-Angriffen. SYN-Cookie- und Spoof-Erkennungstechniken sind aktive Gegenmaßnahmen und validieren Quelle/Absender und können TCP RST-Flood-, UDP-Flood- und ähnliche Flood-Angriffe entschärfen, aber HTTP-Floods können sich durch die Validierung schleichen. L7-Anwendungs-DDoS-Angriffe, einschließlich HTTP-Flood und Slow-and-Low-Angriffe, erfordern eine tiefgreifende Protokollprüfung, die CPU- und Speicherressourcen auf dem Abwehrsystem beansprucht. Dies wird noch komplizierter, wenn verschiedene Dienste wie DNS- oder SIP-Server geschützt werden sollen.
Außerdem gibt es eine einfache und weit verbreitete Gegenmaßnahme - die Ratenbegrenzung. Sie funktioniert, um die Dienste aufrechtzuerhalten. Sie führt jedoch unbeabsichtigt dazu, dass überhöhter Datenverkehr, zu dem möglicherweise auch legitimer Datenverkehr gehört, abgewiesen wird.
Die Frage ist also, wie man all diese Gegenmaßnahmen anwendet, ohne die Dienste zu beeinträchtigen und die Systemleistung zu verschlechtern.
Lösung: Eine mehrschichtige Verteidigung mit adaptiven Richtlinien
Im letzten Beitrag wurden einige moderne Ansätze und Techniken zur DDoS-Abwehr beschrieben. Hier finden Sie weitere Einzelheiten zu diesen Techniken.
Adaptive Schadensbegrenzungsmaßnahmen mit automatischer Eskalation
Wie oben erläutert, sind mehrere verschiedene Gegenmaßnahmen erforderlich, um moderne und multivektorale Angriffe zu bekämpfen. Wäre es nicht ideal, diese Gegenmaßnahmen je nach dem Stand der Abschwächung in mehreren Phasen anzuwenden?
Eine Sammlung von Abschwächungsrichtlinien wird in mehreren Stufen auf der Grundlage von Schweregrad und Komplexität/Schwierigkeitsgrad konfiguriert. Beispielsweise beginnt man mit der Prüfung von Paketanomalien, der Prüfung des Protokollmissbrauchs und dann der Quellenüberprüfung (Spoof-Erkennung). Wenn der weitergeleitete Verkehr (Get-Through-Verkehr) immer noch höher ist als der Basiswert, werden weitere ausgeklügelte Abhilfemaßnahmen wie Filter auf L7-/Anwendungsebene, Ratenbegrenzung usw. angewendet. Sobald sich das Get-Through-Verkehrsaufkommen auf ein normales Niveau eingependelt hat, sollte die Abschwächungsstufe beibehalten und keine neuen Richtlinien mehr angewendet werden. Am wichtigsten ist, dass eine Reihe solcher Vorgänge automatisch abläuft, da sie sehr zeitaufwändig und fehleranfällig sind (mis-operation).
Dies ermöglicht eine schrittweise Reaktion, wobei mit zunehmender Intensität des Angriffs immer wirksamere Gegenmaßnahmen ergriffen werden.
ML/AI-gestützte Schutzmechanismen
Unternehmen müssen auf die Bekämpfung von Zero-Day-Angriffen vorbereitet sein. Genau wie eine Ratenbegrenzung ist die Paketfilterung eine sehr verbreitete und solide Gegenmaßnahme zum Schutz von Diensten, die jedoch legitime Benutzer beeinträchtigen kann, wenn der Umfang und die Bedingungen nicht genau definiert sind. Wenn der Filter nicht eindeutig ist, besteht ein großes Risiko, dass der Dienst beeinträchtigt wird, indem legitimer Benutzerverkehr unterbrochen wird. Mit der Technologie des maschinellen Lernens und der künstlichen Intelligenz zur Analyse von Angriffsverkehrsmustern können genaue und zuverlässige Filter im Handumdrehen erstellt und selbst neuartige DDoS-Angriffe in Echtzeit neutralisiert werden.
Verwertbare Bedrohungsdaten
Echtzeit-Bedrohungsdaten-Feeds halten Ihre Abwehrkräfte über die neuesten Angriffsvektoren und Schwachstellen auf dem Laufenden. Die Feeds enthalten oft IP-Listen mit verdächtigen IPs, bekannten Botnetzen und offenen Servern, die als DDoS-Waffen anfällig sind. Wenn Sie die Liste als schwarze Liste auf Ihr Netzwerkgerät oder Ihren speziellen DDoS-Schutz anwenden, bietet dies einen effizienten Schutz und eine erste Verteidigungslinie, die es Ihnen ermöglicht, Bandbreite und CPU-Ressourcen für komplizierteren Angriffsverkehr zu sparen. Da die IP-Listen der Bedrohungsdaten recht umfangreich sein können (Zehntausende oder sogar Millionen), sollten Sie sicherstellen, dass Ihr Gerät eine solche schwarze Liste speichern kann, ohne dass seine Leistung beeinträchtigt wird, und dass es außerdem in der Lage ist, die Liste regelmäßig zu aktualisieren.
Wie A10 Defend helfen kann
Kein Unternehmen verfügt bei DDoS-Angriffen in Echtzeit über unbegrenzt geschultes Personal oder Ressourcen. Durch die Implementierung eines mehrschichtigen Ansatzes mit A10 Defendkönnen Unternehmen eine robuste und effiziente DDoS-Schutzlösung aufbauen und so sicherstellen, dass ihre kritischen Dienste und Abläufe sicher bleiben.
A10 Defendbietet eine ganzheitliche DDoS-Schutzlösung, die skalierbar, wirtschaftlich, präzise und intelligent für einen modernen DDoS-Schutz ist und aus vier Hauptkomponenten besteht:
- A10 Defend Detektor: Hochleistungsfähige, flussbasierte Netzwerkanomalie mit automatischer Verkehrsanalyse und Profilerstellung für eine präzise und schnelle Angriffsidentifizierung. Seine intelligente Technik zur Identifizierung von Opfern grenzt den Bereich des Ziels auf IP(s) oder einen Bereich von Subnetzen in Echtzeit ein.
- A10 Defend Mitigator: Intelligente, automatisierte DDoS-Abwehr, die auf maschinellem Lernen basiert und in Bezug auf Präzision, Skalierbarkeit und Leistung branchenweit führend ist. Er verfügt über eine einzigartige multimodale und quellenbasierte Schutzstrategie, einschließlich einer enormen Kapazität an intelligenten Bedrohungslisten (bis zu 96 Millionen Einträge), fünfstufigen adaptiven Mitigationsrichtlinien mit progressiver automatischer Eskalation der Mitigationsstufe und automatischer Zero-Day Attack Pattern Recognition (ZAPR), um nur einige zu nennen.
- A10 Defend Threat Control: Liefert umsetzbare DDoS-spezifische Informationen und Analysen zu DDoS-Bedrohungen und -Waffen wie DDoS-Botnets, einschließlich Command-and-Control- (C&C) und Shadow-Servern, Reflektoren und vielen anderen, und ermöglicht so proaktive Verteidigungsstrategien. Produkttour starten
- A10 Defend Orchestrator: Ein zentraler Knotenpunkt für die Verwaltung und Kontrolle der automatisierten DDoS-Abwehr über alle Komponenten von A10 Defend . Er bietet ein Live-Dashboard und eine Konsole für den DDoS-Schutz und erstellt Berichte über Vorfälle, sobald die Angriffe beendet sind.