Hybridlösungen heute „Best Practice“ zur DDoS-Abwehr

20 Jahre DDoS-Angriffe

Vor 20 Jahren, im September 1996, war die US-Firma Panix Opfer eines sogenannten Synchronize-Flood- oder kurz Syn-Angriffs (eine der ersten Cyberangriffsarten). Das gesamte Netz des in New York City ansässigen Providers wurde für mehrere Tage lahmgelegt – und das zu einer Zeit, als nur ein geringer Teil der US-Bevölkerung über einen Internetzugang verfügte.

Die Panix-Attacke war einer der ersten gravierenden Vorfälle, die der Öffentlichkeit die Bedeutung der Verfügbarkeit von Netzwerken und Diensten demonstrierte. Seither sorgen DDoS-Angriffe („Distributed Denial-of-Service“) regelmäßig für Schlagzeilen, dennoch sind viele Unternehmen noch immer unzureichend auf die Abwehr solcher Angriffe vorbereitet.

Viele IT-Chefs sind sogar davon überzeugt, nie Ziel eines DDoS-Angriffs zu werden - obwohl sie längst Ausfälle zu verzeichnen haben. Denn häufig werden Angriffe fälschlicherweise auf Geräte- oder Bedienungsfehler zurückgeführt, weil Vorkehrungen zur Erkennung und Abwehr von DDoS-Angriffen fehlen.

Veränderte DDoS-Angriffe erfordern Umdenken

Ein Großteil der Unternehmen verlässt sich auf die vorhandene Sicherheits-Infrastruktur wie Firewalls und das „Intrusion Prevention“-System (IPS) oder beschränkt sich ausschließlich auf den meist einschichtigen Schutz, den ihnen ihre Internet-Service-Provider oder ihr „Content Delivery“-Network (CDN) bieten. In beiden Fällen bleiben ihre Netze anfällig für Angriffe und sind nur unzureichend geschützt.

Firewall und IPS arbeiten mit Stateful-Inspection und sind häufig selbst Opfer von DDoS-Angriffen. Und ein so genannter Cloud-only- oder CDN-Schutz kann wichtige Applikationen nicht ausreichend absichern. Das liegt auch an der Angriffsgröße: Erst vor kurzem wurde vom US-Hersteller Arbor Networks der größte bislang verzeichnete Angriff mit einem Volumen von rund 600 Gigabit pro Sekunde (Gbit/s) abgewehrt. Die mittlere Angriffsgröße soll nach Einschätzung der Experten bis Ende 2016 voraussichtlich 1,15 Gbit/s erreichen – ein Volumen, das die Netze der meisten Unternehmen lahmlegen dürfte.

Auch die Angriffshäufigkeit nimmt zu. Frei zugängliche, einfach zu bedienende Tools und sogar zu mietende Dienste für Angriffe motivieren Hacker und erhöhen die Wahrscheinlichkeit für jedes Netz, Opfer eines DDoS-Angriffs zu werden. In den letzten drei Jahren ist die Zahl der DDoS-Angriffe um das 2,5-Fache angestiegen. Forschungsergebnisse dazu sowie Analyse- und Detailinformationen stellt Arbor Networks zusammen mit den via Atlas weltweit erhobenen Daten über Bedrohungen im Atlas Threat Portal zur Verfügung.

Drei Typen von DDoS-Angriffen

Schwieriger wird die Abwehr der DDoS-Angriffe auch deshalb, weil das längst nicht mehr die einfache SYN-Floods von früher sind, sondern hochkomplexe Multivektoren-Angriffe, die gleichzeitig auf die Bandbreite, Applikationen, Sicherheits-Infrastrukturen (wie Firewalls und IPS) und Dienste zielen. Es lassen sich drei Typen von DDoS-Angriffen unterscheiden, die auch in Kombination erfolgen können und dementsprechend schwieriger zu bekämpfen sind:

1. Volumetrische Angriffe (auch als „Überflutung“ bezeichnet) erfolgen verbindungslos. Sie sollen eine Überlastung erzeugen, indem so viel Datenverkehr gesendet wird, dass die Bandbreite der Website nicht ausreicht. Die Angriffe werden in der Regel mit Hilfe von Botnets ausgeführt.

2. TCP-State-Exhaustion-Angriffe zielen auf Webserver, Firewalls und Load-Balancer, um Verbindungen zu unterbrechen und die begrenzte Anzahl gleichzeitiger Verbindungen, die das Gerät unterstützt, zu überschreiten.

3. Layer-7-Angriffe (verbindungsbasierte Angriffe auf Anwendungsebene) nutzen Schwachstellen einer Applikation oder eines Servers aus, um eine Verbindung herzustellen und durch das Monopolisieren von Prozessen und Transaktionen zu überlasten. Diese ausgeklügelten Bedrohungen sind schwerer zu erkennen, da für den Angriff eine geringere Anzahl von Computern benötigt wird, so dass eine geringe Datenverkehrsrate erzeugt wird, die unverdächtig erscheint.

Angriffsabwehr vor Ort

Deshalb empfiehlt das Forschungsinstitut IHS Infonetics Research zur Abwehr Hybridlösungen. Durch die Angriffsabwehr vor Ort können dann kontinuierlich auftretende volumetrische Angriffe in den unteren Bandbreitenbereichen (bis zu zehn Gigabit/s) zu festen Kosten abgewehrt werden. Auch gegen auf Überlastung abzielende Angriffe auf Applikationsebene bieten Hybridlösungen einen besseren Schutz.

Lokale Lösungen können in die vorhandene Sicherheitsinfrastruktur integriert werden und versprechen einen kontinuierlichen Schutz gegen Angriffe. Außerdem ermöglichen sie einen Einblick in Multivektor-Angriffe, die DDoS als Single-Vektor im Rahmen einer größeren Attacke einsetzen.

Bildquelle: Thinkstock / iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok