Zum Inhalt springen Weiter zur Suche
Testversion
Blog

Sechs Schritte zur Abwehr von DDoS-Angriffen

A10 Blog / Netzwerksicherheit / Sechs Schritte zur Abwehr von DDoS-Angriffen
A10 Personal
A10 Personal
|
Oktober 29, 2018

In der ersten Hälfte dieses Artikels, " DDoS-Angriffe verstehen", haben wir über die Grundlagen von DDoS-Angriffen gesprochen. In diesem Teil erfahren Sie, wie Sie Ihr Unternehmen vor den verheerenden Auswirkungen von DDoS-Angriffen schützen können.

Mehr als 80 Prozent der Unternehmen waren 2017 von mindestens einem DDoS-Angriff betroffen. Es ist nicht mehr die Frage, ob, sondern wann Ihr Unternehmen von einem DDoS-Angriff betroffen sein wird.
Wie können Unternehmen wirksame Strategien zur Abwehr von DDoS-Angriffen umsetzen? Schauen wir uns das mal an.

Bewährte Praktiken zur Abschwächung von DDoS-Angriffen

Im Jahr 2016 gab es die ersten bewaffneten IoT-Botnet-Angriffe, bei denen die Mirai-Malware eingesetzt wurde , um Mainstream-Websites wie Netflix, Twitter, Reddit und viele andere effektiv lahmzulegen. Seitdem sind die Tools und Methoden, die Hackern zur Verfügung stehen, nur noch größer geworden. Erschwerend kommt hinzu, dass die Kosten für den Start eines DDoS-Angriffs gesunken sind. Für die Miete eines Botnets mit einer garantierten DDoS-Angriffsrate von 290-300 Gigabit müssen Sie nur noch 20 US-Dollar bezahlen.

Für jedes Unternehmen ist es wichtig, über einen gewissen Schutz vor großen DDoS-Angriffen zu verfügen. Viele klassische Formen des DDoS-Schutzes sind nicht in der Lage, einen nuancierten Ansatz für einen Datenansturm zu wählen. Anstatt die legitimen Daten von den bösartigen Daten zu trennen, werden einfach alle eingehenden Daten wahllos weggeworfen.

Allerdings ist nicht jede Art von DDoS-Schutz bei jeder Art von Angriff wirksam. Die flussbasierte Überwachung ist bei volumetrischen Angriffen wirksam, aber weniger bei Angriffen auf Netzwerkprotokolle und Anwendungen. Andererseits ist die Paketanalyse bei allen drei Arten wirksam.

Der von Ihrem ISP oder Cloud-Anbieter angebotene DDoS-Schutz wird wahrscheinlich nicht das umfassende Abwehrsystem bieten, das Sie benötigen. Sie sind daran interessiert, ihre eigene Infrastruktur zu schützen. Sie sind daran interessiert, Ihre Anwendungen und Netzwerke zu schützen. Sie sollten sich also nicht ausschließlich auf diese Anbieter verlassen, wenn es um einen flächendeckenden DDoS-Schutz geht.

Vier Voraussetzungen für DDoS-Schutz

Eine moderne DDoS-Abwehr sollte vier wichtige Anforderungen erfüllen:

  1. Präzision: Für Unternehmen ist es entscheidend, ein präzises DDoS-Abwehrsystem zu implementieren. Im Gegensatz zu stumpferen Abwehrsystemen (wie z. B. Remotely Triggered Black Hole Filtering oder RTBH) kann eine präzise Schutzlösung Bedrohungen genau erkennen und entsprechend abmildern. Auf diese Weise lassen sich kostspielige Fehler vermeiden, z. B. falsch positive oder negative Ergebnisse, durch die legitime Benutzer blockiert oder Angriffe verpasst werden können.
  2. Skalierbarkeit: Der größte DDoS-Angriff erreichte im März 2018 1,35 Terabit pro Sekunde. Angesichts der schieren Größe der heutigen DDoS-Angriffe ist es wichtiger denn je, dass DDoS-Schutzsysteme in Tiefe, Breite und Höhe skalierbar sind. Je nach Paketrate, Anzahl der angreifenden Bots und Bitrate eines Angriffs können sich nicht skalierbare Systeme als unzureichend erweisen.
  3. Effiziente Reaktion im Kriegsfall: Ein automatisiertes DDoS-Abwehrsystem kann kostspielige und zeitaufwändige manuelle Eingriffe überflüssig machen. Es sollte DDoS-Angriffe automatisch erkennen, entschärfen, melden und daraus lernen. Dies gilt insbesondere für den Fall eines Multi-Vektor-Angriffs (bei dem mehrere Techniken und Methoden gleichzeitig eingesetzt werden).
  4. Erschwinglichkeit: Mit einem kleineren, effizienteren und erschwinglicheren DDoS-Schutzsystem können Unternehmen die Kosten niedrig halten, ohne Abstriche bei der Leistung zu machen. Dies reduziert die Anzahl der benötigten Appliances, senkt die Kosten und spart Platz im Rack, was sowohl Zeit als auch Geld spart.

Leider erfüllen die Altsysteme diese Anforderungen aus den folgenden Gründen nicht:

  • Mangelnde Präzision: Flow Detection kann keine komplexen Netzwerk- und Anwendungsangriffe erkennen.
  • Mangelnde Größe: Um rentable Clean-Pipe-Dienste einzurichten, sind ganze Stapel von Geräten erforderlich.
  • Fehlende Automatisierung: Geschulte Experten sind erforderlich, um zeitaufwändige manuelle Eingriffe zu veranlassen.
  • Nicht erschwinglich: Ältere Systeme sind zu teuer, um sie zu skalieren.

Moderner Ansatz für DDoS-Schutz

Die Häufigkeit von Multi-Vektor-DDoS-Angriffen nimmt exponentiell zu. Eine von IDG durchgeführte Untersuchung von DDoS Strategies hat ergeben, dass UDP-Flood-Angriffe 20 Prozent aller Angriffe ausmachen. Nach Layer kategorisiert:

  • 29 Prozent der Angriffe finden auf der Netzwerkebene statt
  • 25 Prozent auf der Anwendungsebene
  • 25 Prozent auf der Netzwerkebene
  • 21 Prozent bei Infrastrukturdienstleistungen

Hacker setzen mehrere Angriffsarten gegen einzelne Ziele ein. Für moderne DDoS-Schutzlösungen ist es wichtiger denn je, dass sie alle vier kritischen Anforderungen erfüllen: Präzision, Skalierbarkeit, Reaktionsfähigkeit im Kriegsfall und Erschwinglichkeit. Wirksame DDoS-Schutzstrategien greifen zu kurz, wenn sie nicht umfassend sind. Unternehmen sollten mehrschichtige hybride Lösungen bevorzugen, die einen konstanten Schutz vor jeder Art von DDoS-Angriffen bieten können.

Ein moderner, umfassender Ansatz zum DDoS-Schutz verwendet mehrere Tools und erreicht mehrere Ziele:

  • Mehrschichtige, tiefgreifende Erkennung: Verwendet einen kosteneffizienten reaktiven Modus mit mehrschichtiger Paketerfassung.
  • Intelligente Automatisierung mit maschinellem Lernen: Manuelle Eingriffe sind nicht mehr erforderlich.
  • Skalierbar auf 100Ks überwachter Einheiten mit individuellen Richtlinien: Bietet profitable Clean-Pipe-Dienste.
  • Überwindet organisatorische Silo-Probleme: Ermöglicht es Organisationen, gemeinsame Ressourcen und Talente zu nutzen.

Unternehmen implementieren in der Regel eine von drei Bereitstellungsarten.

  • Proaktiv: Bei einem proaktiven Bereitstellungsmodus wird der eingehende Datenverkehr ständig überwacht, und es werden Erkennungs- und Eindämmungsmaßnahmen dagegen ergriffen. Dies ist also eine äußerst effektive Möglichkeit für Unternehmen, paketbasierte Erkennungs- und Eindämmungs-Appliances am Rand des Netzwerks einzusetzen.
  • Reaktiv: Ein reaktiver Bereitstellungsmodus verwendet flussbasierte Daten, um einen vollständigen Einblick in den Datenverkehr eines Netzwerks zu erhalten. Dabei wird bestimmter Datenverkehr an einen Mitigator weitergeleitet, gesäubert und dann wieder in das Netzwerk zurückgeführt. Dieser Modus wird in der Regel von ISPs oder Cloud-Anbietern angeboten.
  • Hybrid: Ein hybrider Bereitstellungsmodus nutzt On-Demand-Cloud-Mitigation-Funktionen, um volumetrische Angriffe abzuwehren, sowie In-Line- und On-Premises-Paket-basierte Lösungen, die darauf ausgelegt sind, die drei Haupttypen von DDoS-Angriffen zu erkennen und zu entschärfen: volumetrische Angriffe, Netzwerkprotokolle und Anwendungen.

Um die Vorteile eines modernen Ansatzes zum DDoS-Schutz zu nutzen und sich angemessen gegen Multi-Vektor-Angriffe zu verteidigen, wird in der Regel empfohlen, dass Unternehmen einen hybriden Bereitstellungsmodus wählen.

DDoS-Wolken-Scrubbing

Die Unternehmen müssen auch nach Lösungen suchen, die DDoS-Cloud-Scrubbing anbieten. Dies erfordert einen Cloud-Dienst, der den Datenverkehr während eines Angriffs von den Rechenzentren des Unternehmens umleitet. Der Cloud-Scrubbing-Dienst beseitigt dann den bösartigen Datenverkehr, bevor er den legitimen Datenverkehr über den Internetdienstanbieter auf seinen normalen Weg zurückleitet.

DDoS-Bedrohungsaufklärung

Bedrohungsdaten sind ein weiterer wichtiger Aspekt einer DDoS-Abwehrstrategie. Ohne sie sind Unternehmen gezwungen, Angriffe mit Vermutungen und blinder Schadensbegrenzung zu bekämpfen. Mit Threat Intelligence können Unternehmen jede Art von allgemeiner Bedrohung erkennen, bevor sie ihr Netzwerk trifft.

Unternehmen haben Mühe, wichtige Erkenntnisse aus unvollständigen und veralteten Bedrohungsdaten zu gewinnen. Für Unternehmen ist es wichtig, einen Echtzeit-Feed mit verwertbaren Bedrohungsdaten zu erhalten, der Objekte (wie Botnets, IP-Adressen von reflektierenden Angreifern und mehr) aktiv überwacht.

Die richtigen Tools zur DDoS-Abwehr

Unternehmen sollten nicht unterschätzen, wie wichtig es ist, die richtigen Tools zur DDoS-Abwehr zu finden. Unternehmen müssen zunächst verstehen, welche Arten von Angriffen am häufigsten vorkommen und welche immer beliebter werden. Amplifikationsangriffe sind derzeit am weitesten verbreitet, dicht gefolgt von Stateful Floods, die häufig von Botnets ausgehen. Dazu gehören auch IoT-Botnets, wie sie bei den Mirai-Angriffen verwendet werden.

Alles in allem wird eine umfassende DDoS-Lösung, die sowohl Technologie als auch Verfahren vereint, dank der Präsenz von:

  • Dedizierte, vor Ort installierte Ausrüstung, die rund um die Uhr wachsam sein kann.
  • Ein Expertenteam, das auf alle Arten von Angriffen reagieren kann.
  • Die Wolke, die als Ziel für den umgeleiteten Verkehr dienen kann.

Sechs Schritte zur DDoS-Abwehr

Bei einem DDoS-Angriff umfasst eine wirksame Verteidigung Folgendes:

  1. Vor-Ort-Geräte erkennen den Angriff automatisch und aktivieren Abhilfemaßnahmen.
  2. Das Incident Response Team wird automatisch alarmiert, wenn der Angriff ein bestimmtes Niveau erreicht, ohne dass er erfolgreich abgewehrt werden kann.
  3. Das Incident-Response-Team prüft, ob es sich um einen echten Angriff handelt (und nicht um einen Fehlalarm), analysiert den Angriff, gibt Hinweise zur Schadensbegrenzung und empfiehlt bei Bedarf einen Cloud-Swing.
  4. Ein Ablenkungssignal wird an die Cloud gesendet, zusammen mit Details über den Angriff.
  5. Das Cloud-Team leitet den Datenverkehr für das Scrubbing um, in der Regel über das Border Gateway Protocol (BGP) oder das Domain Name System (DNS).
  6. Wenn der Angriff beendet ist, wird der Datenverkehr wieder auf seinen normalen Weg durch den ISP zurückgeführt.

Webinar
Erfahren Sie, wie Sie Ihr Unternehmen mit bewährten Verfahren vor DDoS-Angriffen schützen können. Sehen Sie sich das Webinar mit den Experten Jeff Wilson von IHS Markit und Ahmad Nassiri von A10 Networks an.
REGISTRIEREN SIE SICH FÜR DAS WEBINAR

Teilen Sie diesen Beitrag:

Auf LinkedIn teilen
Kategorien:
Netzwerksicherheit
Vorheriger Beitrag
Nächster Beitrag
A10 Personal
A10 Personal
|
Oktober 29, 2018

Weiterlesen

DDoS-Bedrohungsbericht: Mehr als 15 Millionen DDoS-Waffen aufgespürt

Holen Sie sich den kostenlosen Bericht

Verwandte Ressourcen

  1. DOJ erhebt sechs Anklagen wegen DDoS-for-hire-Diensten und tötet 48 Websites
  2. 5 Schritte zu besserer Anwendungserfahrung und Sicherheit
  3. DDoS-Angriffe gegen CSPs: Was Sie wissen müssen