So schützen sich Unternehmen vor DDoS-Attacken
Plattgemacht, lahmgelegt, ausgebremst?
Fortsetzung des Artikels von Teil 1
Volumen-Angriffe richtig kontern
Eine große Herausforderung, dem sich die angegriffenen Unternehmen heutzutage gegenübersehen, ist die Traffic-Bandbreite der ungültigen Anfragen. In wenigen Jahren sind die Bandbreiten von einem 1 Gigabit pro Sekunde (Gbit/s) zum Teil auf über 100 Gbps hochgeschnellt. Die führenden Anbieter professioneller DDoS Schutzlösungen wappnen sich bereits, indem sie für Bandbreiten von über 500 Gbit/s aufrüsten.
Eine Weiterentwicklung der bisherigen DDoS Angriffe sind Distributed-Reflection-DoS (DRDOS)-Attacken. Diese schalten zwischen angreifendem Botnetz und Ziel-Server eine Verstärker-Ebene: Domain-Name-Server (DNS) oder Network-Time-Protocol (NTP) Server. Sie intensivieren die Wucht des Angriffes. Das Datenvolumen erhöht sich durch Ampflication im Durchschnitt um das 70-fache.
Kritisch wird es auch, wenn die Angreifer eine andere Angriffsart verwenden, wie zum Beispiel Applikations-Attacken auf Layer-7-Ebene. Bei diesen Szenarien kann nur eine intelligente Verhaltungsmusteranalyse zwischen normalem User und Angreifer differenzieren.
Intelligenz im Angriff erfordert Intelligenz in der Abwehr
Ein Beispiel für sogenannte intelligente Attacken sind Slow-DDoS-Attacken, wie „Slowloris“. Dahinter steckt die Absicht, eine offene Verbindung zu dem angegriffenen Server permanent aufrecht zu halten. Erreicht wird dieser Effekt durch das vermehrte Versenden unvollständiger http-Anfragen. Da der erzeugte Datenverkehr den Anforderungen der Protokollverifizierung entspricht und sich auch seine Geschwindigkeit im zulässigen Rahmen bewegt, erkennen viele DDoS-Schutzlösungen Angriffe dieser Art erst gar nicht.
Die Lösung: Intelligenter DDoS-Schutz gibt Anfragen nur an den Webserver weiter, wenn sie auch komplett sind. Offene Anfragen werden dafür zunächst zwischengespeichert. Bestehen auffällig viele offene Verbindungen, können diese nach bestimmten Kriterien abgebrochen werden, zum Beispiel wenn die im Anfragepaket enthaltenen Informationen nicht dem üblichen Verhaltensmuster entsprechen. Die Slow-DDoS-Attacken werden von modernen DDoS-Filtern somit durch ihr unnatürliches oder auffälliges Abfrageverhalten aufgespürt und abgewehrt.
Eine andere Variante von intelligenten Attacken tarnen sich als Datenbankabfragen. Erfolgen solche Abfragen innerhalb kurzer Zeit vielfach, wird das System entsprechend überlastet bis es unter Umständen nicht mehr verfügbar ist. In diesem Fall analysiert ein intelligenter DDoS-Filter nicht nur, ob diese Anfragen dem normalen Nutzerverhalten entsprechen, sondern auch, wie sehr sie die Systemressourcen belasten, verzögern oder blockieren.
Herausragende DDoS Schutzlösungen können sich zudem auf Angriffe über mehrere Ebenen einstellen, also kombinierte Volumen- und Applikationsangriffe abwehren. Der Kniff besteht dabei darin, möglichst rasch herauszufinden, welcher Angriffs-Vektor nur der Ablenkung dient und welcher der eigentliche Angriff ist. Die Zahl dieser Multi-Vektor-Angriffe nahm 2013 übrigens um über 40 Prozent zu.
- Plattgemacht, lahmgelegt, ausgebremst?
- Volumen-Angriffe richtig kontern
- Risiken minimieren, Schutzmaßnahmen treffen
- ´DDoS-Checkliste
Lesen Sie mehr zum Thema
