Drei Möglichkeiten zum Blockieren von DDoS-Angriffen
In unserem letzten Beitrag dieser Serie haben wir erörtert, wie Sie durch Automatisierung während eines DDoS-Angriffs unschätzbare Zeit sparen können.
Ein automatisiertes DDoS-Schutzsystem, das schnell auf Angriffe reagieren kann, ist zwar von entscheidender Bedeutung, aber ebenso wichtig ist es, Strategien zu implementieren, die dazu beitragen, die Verfügbarkeit der Dienste für legitime Benutzer zu gewährleisten.
Schließlich sind DDoS-Angriffe von Natur aus asynchron: Sie können den Angreifer nicht daran hindern, einen Angriff zu starten, aber mit den richtigen Strategien können Sie dem Angriff standhalten.
Im Folgenden zeigen wir Ihnen drei wichtige Möglichkeiten auf, wie DDoS-Abwehrsysteme die Auswirkungen von Angriffen aufhalten und gleichzeitig Ihre Benutzer schützen können:
- Abweichung bei der Verfolgung
- Mustererkennung
- Reputation
Drei Strategien zum Blockieren von DDoS-Angriffen
Jede der drei oben genannten Methoden wird als quellenbasierte DDoS-Abwehrstrategie bezeichnet. Bei quellenbasierten Strategien wird die Ursache als Grundlage für die Auswahl des zu blockierenden Datenverkehrs verwendet, während die Alternative der zielbasierten Eindämmung auf der Gestaltung des Datenverkehrs beruht, um ein Umkippen des Systems zu verhindern.
Die Gestaltung des Zielverkehrs ist zwar ein wirksames Mittel, um zu verhindern, dass das System während eines Angriffs überlastet wird, birgt aber auch die Gefahr von Kollateralschäden für legitime Nutzer.
Schauen wir uns jede einzelne davon genauer an:
1. die Verfolgungsabweichung: Bei einer Strategie zur Verfolgung von Abweichungen wird der Datenverkehr laufend beobachtet, um herauszufinden, was als normal und was als Bedrohung einzustufen ist.
Insbesondere kann ein Verteidigungssystem die Daten- oder Abfragerate anhand mehrerer Merkmale (z. B. BPS, PPS, SYN-FIN-Verhältnis, Sitzungsrate usw.) analysieren, um festzustellen, welcher Datenverkehr legitim und welcher bösartig ist, oder es kann Bots oder gefälschten Datenverkehr daran erkennen, dass sie nicht in der Lage sind, die Sicherheitsfragen zu beantworten.
2. Mustererkennung: Eine Strategie zur Mustererkennung nutzt maschinelles Lernen, um ungewöhnliche Verhaltensmuster zu analysieren, die häufig von DDoS-Botnets und reflektierten Verstärkungsangriffen in Echtzeit gezeigt werden.
DDoS-Angriffe werden beispielsweise von einem motivierten Angreifer initiiert, der eine Orchestrierungsplattform nutzt, die den verteilten Waffen Anweisungen gibt, wie sie das Opfer mit unerwünschtem Datenverkehr überfluten sollen. Die üblichen Command-and-Control (C&C)- und verteilten Angriffe weisen Muster auf, die als kausale Blockierungsstrategie genutzt werden können
3. Reputation: Um Reputation als quellenbasierte Blockierungsstrategie zu nutzen, verwendet ein DDoS-Abwehrsystem Bedrohungsdaten, die von Forschern der IP-Adressen von DDoS-Botnetzen zur Verfügung gestellt werden, zusätzlich zu den Millionen exponierter Server, die für reflektierte Verstärkungsangriffe verwendet werden.
Das System nutzt dann diese Informationen, um während eines Angriffs alle passenden IP-Adressen zu blockieren.
Jede dieser drei quellenbasierten DDoS-Abwehrstrategien erfordert mehr Rechenleistung als ein wahlloser Schutz des Ziels.
Sie haben jedoch den großen Vorteil, dass sie verhindern können, dass legitime Nutzer blockiert werden, wodurch die Ausfallzeiten verringert und unnötige Gewinneinbußen vermieden werden.
In Anbetracht dessen kann man mit Sicherheit sagen, dass sich diese drei Strategien zur Risikominderung alle lohnen.
Schauen Sie sich unser Video unten und alle unsere Schulungsvideos an, um mehr über die Grundlagen des DDoS-Schutzes zu erfahren, und lesen Sie unbedingt auch die anderen Beiträge dieser Serie:
- Fünf Wege, wie Automatisierung während eines DDoS-Angriffs die Zeit auf Ihre Seite bringt
- Drei Gründe, warum Sie DDoS-Waffen-Intelligenz brauchen