Wie Zonen eine proaktive DDoS-Abwehr erleichtern, die echte Benutzer schützt
Das Hauptziel des DDoS-Schutzes besteht darin, die Verfügbarkeit von Diensten für legitime Nutzer zu gewährleisten. In zweiter Linie geht es darum, die Infrastruktur des Dienstes vor Überlastung zu schützen und den Zugang der Nutzer zu sichern. Manchmal übersehen DDoS-Verteidiger die Feinheiten dieser Priorität, weil die IT-Abteilung nach einer messbaren Betriebszeit von fünf bis neun Jahren bewertet wird, aber selten nach der Benutzererfahrung.
Wenn das Benutzererlebnis wichtig ist, ist eine proaktive In-Path-DDoS-Abwehr (L3 oder L2) am effektivsten. Eine stets aktive proaktive Verteidigung bietet die Vorteile einer sofortigen Reaktion auf Richtlinienverstöße und Transparenz auf Paketebene der Anwendungsebene für einen umfassenden Multi-Vektor-DDoS-Schutz.
Dennoch sind die Kosten für die proaktive Bereitstellung ein Hauptproblem für große Netzwerke, da diese Verteidigungsstrategie eine 1:1-Verteidigungskapazität im Verhältnis zum gesamten eingehenden Verkehr erfordert. Dies bedeutet, dass keine Überbelegung möglich ist, wie dies bei der flussbasierten reaktiven Bereitstellung der Fall ist. Andere häufig geäußerte Bedenken bei der Implementierung einer ständig aktiven Verteidigung sind falsch ausgelöste Schadensbegrenzungen und zusätzliche Latenzzeiten, die durch die Überprüfung des Datenverkehrs auf Paketebene in Friedenszeiten verursacht werden.
Fehler und Latenzzeiten sind legitime Probleme für ältere DDoS-Abwehrsysteme, bei denen statische Richtlinien manuell aktiviert oder ständig vorhanden sind. Einige Gerätehersteller empfehlen die Verwendung eines Tap-Modus für die Erkennung auf Paketebene. Dabei handelt es sich jedoch um eine nicht-intrusive POC-Evaluierungstechnik, die in Produktionsumgebungen aufgrund der hohen Kosten und der zusätzlichen Komplexität selten praktikabel ist.
A10 Networks löst dieses Problem durch den Einsatz von benutzerdefinierten adaptiven fünfstufigen Richtlinien, die in der geschützten Zonenkonstruktion unterstützt werden. Mit den adaptiven Eskalationsfunktionen kann der Betreiber bis zu fünf Stufen von Mitigationsregelsätzen definieren, die das Thunder® Threat Protection System (TPS) während eines DDoS-Angriffs durchläuft. Die erste Stufe (L0) wird in der Regel als Friedensphase definiert, in der keine Mitigationsregeln angewendet werden und die Latenzzeiten in Mikrosekunden gemessen werden. In dieser Phase überwacht Thunder TPS den Anstieg des Datenverkehrs über mehrere Verkehrsindikatoren in jeder definierten Zone (bis zu 3.000 aktive Zonen pro Gerät). Tabelle eins unten zeigt die überwachte Verkehrsrate und das Verhältnis, das in Friedenszeiten ermittelt wurde, sowie die Abweichung, die zur Bestimmung der Kriegszeit für TCP-Dienste innerhalb der Zone verfolgt wird. Entsprechende Indikatoren werden auch für UDP, ICMP, IP und andere Protokolle unterstützt. Sobald einer dieser erlernten Erkennungsschwellenwerte verletzt wird, erfolgt eine Eskalation und die nächste Stufe von Regeln wird auf die Zone angewendet.
Tabelle 1: Indikatoren für den TCP-basierten Dienst "Tracked Traffic
Die Verfolgung von mehr Indikatoren als BPS und PPS erhöht die Erkennungseffizienz, insbesondere bei der Erkennung von Angriffen auf der Netzwerk- und Anwendungsebene. Ein weniger bekannter, aber nützlicher Indikator ist die Session Miss Rate. Der Name ist verwirrend, aber er erfasst die Anzahl der neu erkannten IP-Adressen. Eine Welle von nie zuvor gesehenen IPs ist ein guter Indikator für einen DDoS-Angriff oder möglicherweise eine Flash Crowd. In jedem Fall ist es Zeit für eine gründlichere Untersuchung.
Ein weiterer wichtiger Grund für den Einsatz adaptiver Richtlinien ist die Tatsache, dass nicht alle Abschwächungsstrategien gleich gut zum Schutz der Nutzer geeignet sind. RTBH und Destination Traffic Shaping beispielsweise säubern von Natur aus und wahllos den Datenverkehr, um die Infrastruktur zu schützen, und hinterlassen dabei einen Kollateralschaden für legitime Benutzer. Mit adaptiven Richtlinien können Sie die Abschwächung entsprechend Ihren individuellen Netzwerk- und Anwendungsbedürfnissen anpassen.
Abbildung 1: Beispiele für Abschwächungsarten
Sie können beispielsweise die IP-Blockierung von Bedrohungen durch reflektierte Verstärker anwenden und großzügige Grenzwerte für die Quelldatenrate festlegen, um laute Verstärkerangriffe zu unterdrücken, bevor Sie die zulässigen Zugriffsraten erhöhen, die Zero-Day-Attack-Pattern-Recognition (ZAPR) aktivieren und eine Botnet-Prüfung einleiten; und als letzten Ausweg können Sie dann Kontrollen zur Gestaltung des Zielverkehrs einsetzen. Die adaptive Natur ermöglicht es dem Verteidigungsoperator, das richtige Maß an Schadensbegrenzung auf den Angriff anzuwenden und dabei den Schaden für die Benutzer so gering wie möglich zu halten.
Abbildung 2: Adaptive Fünf-Stufen-Politik
Vorhin haben wir Flash Crowds erwähnt. Durch die Verwendung adaptiver Richtlinien kommt jeder echte Nutzer durch, ohne eine Richtlinie zu verletzen, bis die Menge zu groß wird und der Schutz der Infrastruktur als letztes Mittel eingesetzt werden muss.
Ihre Mitarbeiter und Kunden sind die treibenden Kräfte in Ihrem Unternehmen, also gehen Sie schonend mit Ihren wertvollsten Ressourcen um. Durch den Einsatz adaptiver Techniken können Sie eine Betriebszeit von fünf bis neun Prozent erreichen und Ihre Benutzer auch bei DDoS-Angriffen wirksam schützen.
Weitere Informationen zu den DDoS-Lösungen von A10 Networksfinden Sie auf der Seite DDoS-Schutz.