DDoS-Defense-Plattformen als erweiterte Verteidigungslinie
Schutz vor DDoS in der Cloud
Fortsetzung des Artikels von Teil 1
Bestandteile von DDoS-Defense-Plattformen
Die DDoS-Defense-Plattform des Cloud-Anbieters ist der Hauptbestandteil der Verteidigung gegen DDoS-Angriffe. Im Idealfall setzt diese wie beschrieben auf den verteilten Elementen des Backbones auf und kann dezentral zur Bekämpfung des eingehenden DDoS-Traffics im Einsatz sein. Am Edge des Backbones sind dafür mehrere sogenannte „Scrubbing Centers“ installiert. In diesen lassen sich bösartige Datenströme analysieren und bereinigen. Im nächsten Schritt erfolgt die Weiterleitung des legitimen Traffics an die jeweilige Zieladresse. Zu den essenziellen Bestandteilen einer DDoS-Defense-Plattform gehören:
Scrubbing Center beziehungsweise DDoS-Traffic-Filter: Sämtlicher Traffic durchläuft einen DDoS-Traffic-Filter, in dem verdächtiger Datenverkehr identifiziert und in der Folge an das nächstliegende Scrubbing Center weitergeleitet wird. Besonders wichtig ist dabei, dass nur bösartigem Traffic der direkte Zugang zu den Rechenzentren verwehrt bleibt, damit diese auch während einer DDoS-Attacke weiterhin funktionieren. Die Unterscheidung zwischen gutem und schlechtem Traffic erfolgt am Edge des Netzwerks über ein Data-Analytics-System.
Bei Anomalien erfolgt ein direktes Routing des betreffenden Traffics für ein bestimmtes Zeitfenster in das Scrubbing Center. Dies geschieht dezentral: Bei einer größeren DDoS-Attacke sind direkt sämtliche vorhandenen Scrubbing Center aktiv, um auch gegen umfassende Angriffe gerüstet zu sein. Dort laufen dann verschiedene „Washing Programs“ ab: Dabei filtern Systeme den bösartigen Traffic über verschiedene Stufen hinweg und nach definierten Kriterien. Dazu gehören verschiedene Indikatoren wie die länderspezifische Herkunft des Traffics, Protokolle und Quell- beziehungsweise Ziel-IP. Darüber hinaus erfolgt ein kontinuierlicher Abgleich mit Reputationslisten (beispielsweise spamhaus.org), in denen bereits bekannte DDoS-Quellen vermerkt sind.
Nachdem der Traffic die unterschiedlichen Washing Programs durchlaufen hat, gelangt der übrig gebliebene und bereinigte Datenverkehr zum entsprechenden Rechenzentrum. Diese Vorgehensweise sorgt zwar für eine minimale Latenz von ungefähr drei bis vier Millisekunden, hält die erforderlichen Systeme aber selbst bei massiven DDoS-Attacken am Laufen.
Permanente Angriffserkennung: Da DDoS-Attacken jederzeit geschehen können, ist ein kontinuierliches Echtzeit-Monitoring des eingehenden Traffics nötig. Bereits am Router lassen sich dafür permanent die Flow-Daten des eintreffenden Traffics analysieren und laufend auf vorab definierte Schwellwerte bei den Metriken Bits pro Sekunde und Pakete pro Sekunde hin prüfen. Reine punktuelle Analysen bieten im Vergleich weniger Schutz und sind daher wenn möglich zu vermeiden, da DDoS-Angriffe dann unbemerkt geschehen können.
Automatische Schadensbegrenzung: Sobald ein DDoS-Angriff am Edge des Netzwerks erkannt ist, leitet die DDoS-Defense-Plattform den Traffic automatisch durch die Scrubbing Center – ein manuelles und möglicherweise fehleranfälliges Eingreifen ist nicht erforderlich.
Common-Layer-3- und 4-Angriffsschutz: Die Plattform sollte Sicherheit für sämtliche virtuelle Ressourcen und Installationen bieten. Dies umfasst insbesondere auch den Schutz vor DDoS-Attacken auf der Netzwerk- und Transportebene, die ungefähr 98 Prozent der DDoS-Attacken ausmachen.
IP-spezifische DDoS-Filterung bei Bedarf: Häufig kommen DDoS-Angriffe zu erwartbaren Zeitpunkten, wie beispielsweise bei E-Commerce-Händlern während größerer Rabattaktionen. Bestimmte IP-Adressen lassen sich dann auf Wunsch speziell schützen. Dabei wird der gesamte Traffic an diese Adresse direkt über die Filterplattform geleitet und der DDoS-Verkehr somit gefiltert. Auf Wunsch ist es möglich, nur den Traffic aus bestimmten Regionen zu filtern, falls beispielsweise bereits vorab Hinweise über die Herkunft eines möglichen DDoS-Angriffs vorhanden sind.
On-Demand Angriffsdiagnose: Nach DDoS-Angriffen erfolgt basierend auf einer Analyse die Erstellung eines detaillierten Reports, auf dessen Basis die Muster des betreffenden Angriffs nachvollziehbar sind – um in Zukunft noch besser gegen solche vorbauen zu können.
Proaktiver Experten-Support: Der Cloud-Anbieter prüft das Netzwerk des Nutzenden proaktiv und meldet sich, sobald im Netzwerk eine DDoS-Attacke entdeckt ist. Gleichzeitig steht der Service jederzeit für Fragen zur Verfügung.
Daniel Heinze ist Head of Network Engineering bei Ionos.
- Schutz vor DDoS in der Cloud
- Bestandteile von DDoS-Defense-Plattformen
Lesen Sie mehr zum Thema
