Zum Hauptinhalt springen
DDoS-Defense-Plattformen – Schutzwall in der Cloud
IONOS SE
Firma: IONOS SE
Sprache: Deutsch
Größe: 1 Seite
Erscheinungsjahr: 2022
Besonderheit: registrierungsfrei
Aktuell,
relevant und
hier zuerst!

Webhoster müssen sich gegen die steigende Zahl von DDoS-Angriffen verteidigen. Fehlen Abwehrmaßnahmen, haben es Angreifer leicht, in Systeme einzudringen, sie lahmzulegen und weiteren Schaden anzurichten. Wie aber lassen sich virtuelle IT-Ressourcen gegen die immer komplexeren DDoS-Angriffe absichern?

Websites und Internet-Plattformen sollten für Kunden und Besucher ohne Ausfallzeiten erreichbar sein. Denial of Service (DoS)-Angriffe stören nicht nur diese kontinuierliche Verfügbarkeit – sie blockieren auch essenzielle Systeme wie Mails, Storage-Software und Datenbanken. Die nachhaltigen Folgen können finanzielle Schäden, Betriebsausfälle und Reputationsverluste sein. Laut dem Branchenverband Bitkom ist inzwischen fast jede dritte Cyber-Attacke ein DoS-Angriff.

DoS-Attacken sind bei Hackern beliebt, weil sie leicht auszuführen und nur mit Mühe zu identifizieren sind. Die Cyber-Kriminellen blockieren dabei die Zugriffe auf Unternehmensdienste und -anwendungen, indem sie einen Server oder die umliegende Infrastruktur mit einer Flut von Internetdaten bombardieren. In Folge der Überlastung verlangsamt sich das System oder bricht ganz zusammen – analog zu einem Stau, der die Autobahn verstopft und den regulären Verkehr daran hindert, an sein Ziel zu gelangen.

Die meisten DoS-Angriffe werden heute als „Distributed Denial of Service“ (DDoS) Attacken ausgeführt. Bei dieser Variante agieren die Cyber-Kriminellen nicht von einem einzelnen Angriffscomputer aus. Stattdessen belasten sie die Zielsysteme durch Anfragen mehrerer Rechner, die zu gigantischen und verteilten Bot-Netzen zusammengeschlossen sind. Mit diesem Verbund von Rechnern kann deutlich mehr Datenverkehr generiert werden als bei einfachen DoS-Angriffen, die nur von einem einzigen System aus durchgeführt werden.

Das offensichtlichste Symptom eines DDoS-Angriffs ist, dass eine Website oder ein Dienst plötzlich langsam wird oder gar nicht mehr verfügbar ist. Ob man tatsächlich Opfer einer DDoS-Attacke geworden ist, lässt sich mittels Beobachtung und Analyse des Netzwerkverkehrs feststellen. Das erfolgt entweder mithilfe der Firewall oder mit einem speziell installierten “Intrusion Detection System”.

DDoS in der Cloud

Grundsätzlich müssen Website-Betreiber und Unternehmen ihr lokales Netz in Eigenverantwortung vor DDoS-Attacken schützen. Mit dem Trend, Applikationen und Daten in die Cloud zu verlegen, verlagert sich die Pflicht zu Sicherheitsmaßnahmen jedoch auf die Cloud-Provider. Nun müssen vor allem sie ihre Plattformen mit den Kundenanwendungen vor DDoS-Attacken schützen. Wie aber lassen sich virtuelle IT-Ressourcen dahingehend absichern?

Grundvoraussetzung für eine effektive Bekämpfung von DDoS-Attacken gegen virtuelle Server ist, dass der Cloud-Anbieter die Angriffe möglichst zeitig bemerkt. In diesem Fall kann er den von weltweit verteilten Bot-Netzen ausgeführten Attacken an verschiedenen Stellen entgegentreten. Ein eigener Backbone mit einer möglichst großen Abdeckung über viele Regionen ist deshalb von Vorteil.

Mit einem Backbone zur Datenübertragung lässt sich der im Zuge der DDoS-Attacke aufkommende Traffic nicht erst entdecken, wenn er im Rechenzentrum ankommt, sondern bereits auf dem Weg dorthin am Router. IT-Verantwortliche haben damit mehr Zeit, Gegenmaßnahmen zu ergreifen und können den Angriff dezentral abwehren.

Ein weiterer Vorteil: Über die unterschiedlichen Zugriffspunkte und das ausgewogene Verhältnis zwischen IP-Transit und Peering hat der Cloud-Provider mehr als nur einen einzigen Zugang zum Internet, der im Fall eines größeren DDoS-Angriffs schnell zum Flaschenhals werden kann.

Schutz mit DDoS-Defense-Plattformen

Als Hauptbestandteil der Verteidigung von Cloud-Providern gegen DDoS-Angriffe haben sich sogenannte DDoS-Defense-Plattformen etabliert. Diese setzen auf den verteilten Elementen des Backbones auf und können dezentral den eingehenden DDoS-Traffic bekämpfen. Am Edge des Backbones sind dafür mehrere sogenannte „Scrubbing Center“ installiert. Der Zweck dieser Center ist es, die bösartigen Datenströme zu analysieren und zu bereinigen. Im nächsten Schritt erfolgt dann die Weiterleitung des legitimen Traffics an die jeweilige Zieladresse.

Einige Webhoster wie IONOS bieten heute standardmäßig solche DDoS-Defense-Plattformen für vServer, Cloud Server und Dedicated Server an. Bei IONOS nennt sich der DDoS-Abwehrmechanismus Cloud DDoS Protect. Er ist standardmäßig aktiviert und erfordert keine zusätzliche Konfiguration.

In der Basisversion durchläuft der gesamte Traffic bei IONOS einen DDoS-Traffic-Filter, der verdächtigen Datenverkehr identifiziert und dann an das nächstliegende Scrubbing Center weiterleitet. Dieses filtert den bösartigen Traffic über verschiedene Stufen hinweg und nach definierten Kriterien heraus. Die Entscheidung zwischen gutem und schlechtem Traffic trifft ein Analytics-System am Übergangspunkt des Netzwerks.

An die Kundenserver wird somit nur der bereinigte Datenverkehr weitergeleitet. Der als bösartig identifizierte Datenverkehr wird geblockt. Jedes Mal, wenn ein Angriff erkannt wird, löst das System automatisch eine DDoS-Abwehr aus und es wird nur echter Traffic durchgelassen und zum Kundenserver geroutet. Diese Vorgehensweise sorgt zwar für eine minimale Latenz von ungefähr drei bis vier Millisekunden, hält die erforderlichen Systeme aber selbst bei massiven DDoS-Attacken am Laufen und verhindert deren Aus- und Überlastung.

Wie auch immer die technischen Details aussehen mögen: Website-Betreiber sollten ihren Internet-Auftritt in jedem Fall vor DDoS-Angriffen abschirmen. Daher ist schon bei der Auswahl des Webhosters darauf zu achten, dass dieser seine Systeme und damit seine Kundinnen und Kunden sowie deren digitale Anwendungen zuverlässig vor solchen Attacken absichert.

Mehr zum Thema Cyber-Security erfahren Sie hier

20979 Views / Downloads

Teilen

DDoS-Defense-Plattformen – Schutzwall in der Cloud

Inhaltstyp: Artikel
IONOS SE