DDoS-Schutz im Rechenzentrum: Unterschied zwischen den Versionen

Aus all-connect Hilfe-Center
Zur Navigation springen Zur Suche springen
 
(7 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 8: Zeile 8:
Siehe auch: https://de.wikipedia.org/wiki/Denial_of_Service
Siehe auch: https://de.wikipedia.org/wiki/Denial_of_Service


==Was steckt dahinter==
====Was steckt dahinter====
Ein DDoS-Angriff zielt darauf ab, dass ein Server oder ein Dienst (z.B. E-Mail oder Web) oder eine ganze Infrastruktur nicht mehr verfügbar sind. Dies wird kann durch verschiedene Strategien erreicht werden:  
Ein DDoS-Angriff zielt darauf ab, dass ein Server oder ein Dienst (z.B. E-Mail oder Web) oder eine ganze Infrastruktur nicht mehr verfügbar sind. Dies kann durch verschiedene Strategien erreicht werden:  
*Bandbreitenüberlastung, damit gewollte Zugriffe nicht mehr oder nur noch sehr langsam funktionieren.
*Bandbreitenüberlastung, damit gewollte Zugriffe nicht mehr oder nur noch sehr langsam funktionieren.
*Überlastung einzelner Systemressourcen einer Maschine, sodass diese nicht mehr antworten kann.
*Überlastung einzelner Systemressourcen einer Maschine, sodass diese nicht mehr antworten kann.
Zeile 15: Zeile 15:
Bei einem DDoS-Angriff werden zahlreiche "missbräuchliche" Anfragen gleichzeitig von verschiedenen Punkten im Internet an das Ziel (also an das Opfer) gesendet. Dadurch wird der angegriffene Server oder Dienst instabil und ist unter Umständen nicht mehr verfügbar.
Bei einem DDoS-Angriff werden zahlreiche "missbräuchliche" Anfragen gleichzeitig von verschiedenen Punkten im Internet an das Ziel (also an das Opfer) gesendet. Dadurch wird der angegriffene Server oder Dienst instabil und ist unter Umständen nicht mehr verfügbar.


==DDoS-Schutz bei all-connect==
====DDoS-Schutz bei all-connect====
Im Gegensatz zu internationalen Transit-Leitungen transportiert all-connect keinen Datentransfer unterschiedlicher Nutzer von A nach B. Stattdessen ist das all-connect Rechenzentrum eines von vielen "Endpunkten" im Internet, welches international von unterschiedlichen Stellen aus erreichbar ist.
Im Gegensatz zu internationalen Transit-Leitungen transportiert all-connect keinen Datentransfer unterschiedlicher Nutzer von A nach B. Stattdessen ist das all-connect Rechenzentrum eines von vielen "Endpunkten" im Internet, welches international von unterschiedlichen Stellen aus erreichbar ist.


Diese Topologie der Infrastruktur lässt sich sehr einfach und zentral auf der kompletten Netzwerkebene schützen. Dazu kommen mehre Techniken zum Einsatz:
Diese Topologie der Infrastruktur lässt sich sehr einfach und zentral auf der kompletten Netzwerkebene schützen. Dazu kommen mehre Techniken zum Einsatz:
*Bestimmte Filter-Regeln blockieren bei Netzwerk-Eintritt ungewollten Bot-Traffic
*Bestimmte Filter-Regeln blockieren bei Netzwerk-Eintritt ungewollten Bot-Traffic.
*Massenhaft angegriffene IP-Adressen werden temporär auf eine Blackliste geführt und eingehender Traffic wird umgeleitet auf ein virtuelles Null-Netzwerk-Device. Der ungewollte Datentransfer wird so eliminiert.
*Massenhaft angegriffene IP-Adressen werden temporär auf eine Blackliste geführt und eingehender Traffic wird umgeleitet auf ein virtuelles Null-Netzwerk-Device. Der ungewollte Datentransfer wird so eliminiert.


Als Kunde mit Diensten im all-connect Rechenzentrum profitieren Sie daher durch die getroffenen, kontinuierlich aktiven Schutzmaßnahmen: Diese wirken bereits bei benachbarten Carriern (also z.B. auf internationalen Transit-Leitungen), indem eintreffender Traffic ständig auf verdächtige Muster überwacht und bei Bedarf gefiltert oder umgeleitet wird.
Als Kunde mit Diensten im all-connect Rechenzentrum profitieren Sie daher durch die getroffenen, kontinuierlich aktiven Schutzmaßnahmen: Diese wirken bereits bei benachbarten Carriern (also z.B. auf internationalen Transit-Leitungen), indem eintreffender Traffic ständig auf verdächtige Muster überwacht und bei Bedarf gefiltert oder umgeleitet wird.


Dabei werden missbräuchliche Anfragen an Ihr System zum Großteil blockiert.  
Dabei werden missbräuchliche Anfragen an Ihr System zum Großteil blockiert.


==Spezielle Angriffe auf Ihren Dienst==
====Spezielle Angriffe auf Ihren Dienst====
Technisch gesehen sind DDoS-Angriffe erst einmal sehr einfache Angriffe ohne Komplexität.
Technisch gesehen sind DDoS-Angriffe erst einmal sehr einfache Angriffe ohne Komplexität.


Zeile 37: Zeile 37:
Fazit: Wenn Sie auf bestimmte geschäftskritische Anwendungen angewiesen sind und Vermögensschäden vermeiden möchten, müssen zusätzliche Abwehr-Machanismen implementiert werden, um Ihre Dienste zu schützen.  
Fazit: Wenn Sie auf bestimmte geschäftskritische Anwendungen angewiesen sind und Vermögensschäden vermeiden möchten, müssen zusätzliche Abwehr-Machanismen implementiert werden, um Ihre Dienste zu schützen.  


==Web-Firewalls und Content-Delivery Lösungen==
====Web-Firewalls und Content-Delivery Lösungen====
Sogenannte ''Web Application Firewalls (WAF)'' und ''Content Delivery Networks (CDN)'' bieten keinen direkten Schutz vor DDoS-Angriffen, weil sie selbst zu Zielen von DDoS-Angriffen werden können.  
Sogenannte ''Web Application Firewalls (WAF)'' und ''Content Delivery Networks (CDN)'' bieten keinen direkten Schutz vor DDoS-Angriffen, weil sie selbst zu Zielen von DDoS-Angriffen werden können.  


WAFs und CDNs reagieren trotzdem auf DDoS-Angriffe und tragen so bei, um eine Schutzwirkung insgesamt zu verbessern. Als Instrument entfalten WAFs und CDNs aber deutlich mehr Schutz und wirken auch erst dann umfassend, wenn das jeweilige Potential komplett ausgeschöpft wird:
WAFs und CDNs reagieren trotzdem auf DDoS-Angriffe und tragen so bei, eine Schutzwirkung insgesamt zu verbessern. Als Instrument entfalten WAFs und CDNs aber deutlich mehr Schutz und wirken auch erst dann umfassend, wenn das jeweilige Potential komplett ausgeschöpft wird:


*'''WAF:''' Typische Lösungen werden als ''Reverse-Web-Proxy'' betrieben. Dabei werden individuelle ''HTTP-GET-'' und ''-POST-Regeln'' gepflegt und verhindern so ungewollten Dienst-Aufruf. Die zentralen Anbieter (z.B. Akamai oder Cloudflare) führen außerdem zentrale Block-Listen mit bekannten Bot-Netzwerken, also mit ''Virus befallenen Zombi-PCs'', welche global gefiltert werden können.
*'''WAF:''' Typische Lösungen werden als ''Reverse-Web-Proxy'' betrieben. Dabei werden individuelle ''HTTP-GET-'' und ''-POST-Regeln'' gepflegt und verhindern so ungewollten Dienst-Aufrufe. Die zentralen Anbieter (z.B. Akamai oder Cloudflare) führen außerdem zentrale Block-Listen mit bekannten Bot-Netzwerken, also mit ''Virus befallenen Zombi-PCs'', welche global gefiltert werden können.
*'''CDN:''' Um große Datenmengen verteilt an eine große Anzahl von Clients auszuliefern bietet es sich an, den jeweiligen "Content" über mehrere Server im ganzen Internet zu verteilen. Die Gesamtzahl der Anfragen verteilt sich so dynamische auf die Gesamtzahl der bereitstehenden Server in unterschiedlichen Rechenzentren. Die schafft Stabilität und nebenbei auch noch ein reduziertes Ausfall-Risiko. CDN-Lösungen bieten wir Ihnen mit ''web-connect CDN'' auch in einfachen und modularen Lösungen.
*'''CDN:''' Um große Datenmengen verteilt an eine große Anzahl von Clients auszuliefern bietet es sich an, den jeweiligen "Content" über mehrere Server im ganzen Internet zu verteilen. Die Gesamtzahl der Anfragen verteilt sich so dynamische auf die Gesamtzahl der bereitstehenden Server in unterschiedlichen Rechenzentren. Dies schafft Stabilität und nebenbei auch noch ein reduziertes Ausfall-Risiko. CDN-Lösungen bieten wir Ihnen mit ''web-connect CDN'' auch in einfachen und modularen Lösungen.
 
====Weitere Fragen====
Sie haben weitere Fragen? Gerne helfen wir Ihnen weiter.  [[Service Team|Senden Sie uns Ihre Frage und nehmen Sie einfach Kontakt mit uns auf!]]
 
[[Category:Einstellungen Webserver]]
[[Category:Einstellungen_E-Mail-Server]]
[[Category:DNS-Einstellungen]]

Aktuelle Version vom 25. Mai 2020, 14:44 Uhr

Mit der starken Zunahme des Internets als Wirtschaftsfaktor treten bestimmte Angriffe immer häufiger auf, darunter insb. auch sogenannte Distributed-Denial-of-Service-Angriffe (DDoS).

Kostenfreier DDoS-Schutz: all-connect bietet Ihnen einen leistungsfähigen, breiten Basisschutz im Rechenzentrum für alle Ihre Server und Dienste.

Dabei werden alle Arten von Attacken schnell erkannt und entsprechende Gegenmaßnahmen getroffen, um letztlich auch generell die eigenen Netze zu schützen.

Siehe auch: https://de.wikipedia.org/wiki/Denial_of_Service

Was steckt dahinter

Ein DDoS-Angriff zielt darauf ab, dass ein Server oder ein Dienst (z.B. E-Mail oder Web) oder eine ganze Infrastruktur nicht mehr verfügbar sind. Dies kann durch verschiedene Strategien erreicht werden:

  • Bandbreitenüberlastung, damit gewollte Zugriffe nicht mehr oder nur noch sehr langsam funktionieren.
  • Überlastung einzelner Systemressourcen einer Maschine, sodass diese nicht mehr antworten kann.

Bei einem DDoS-Angriff werden zahlreiche "missbräuchliche" Anfragen gleichzeitig von verschiedenen Punkten im Internet an das Ziel (also an das Opfer) gesendet. Dadurch wird der angegriffene Server oder Dienst instabil und ist unter Umständen nicht mehr verfügbar.

DDoS-Schutz bei all-connect

Im Gegensatz zu internationalen Transit-Leitungen transportiert all-connect keinen Datentransfer unterschiedlicher Nutzer von A nach B. Stattdessen ist das all-connect Rechenzentrum eines von vielen "Endpunkten" im Internet, welches international von unterschiedlichen Stellen aus erreichbar ist.

Diese Topologie der Infrastruktur lässt sich sehr einfach und zentral auf der kompletten Netzwerkebene schützen. Dazu kommen mehre Techniken zum Einsatz:

  • Bestimmte Filter-Regeln blockieren bei Netzwerk-Eintritt ungewollten Bot-Traffic.
  • Massenhaft angegriffene IP-Adressen werden temporär auf eine Blackliste geführt und eingehender Traffic wird umgeleitet auf ein virtuelles Null-Netzwerk-Device. Der ungewollte Datentransfer wird so eliminiert.

Als Kunde mit Diensten im all-connect Rechenzentrum profitieren Sie daher durch die getroffenen, kontinuierlich aktiven Schutzmaßnahmen: Diese wirken bereits bei benachbarten Carriern (also z.B. auf internationalen Transit-Leitungen), indem eintreffender Traffic ständig auf verdächtige Muster überwacht und bei Bedarf gefiltert oder umgeleitet wird.

Dabei werden missbräuchliche Anfragen an Ihr System zum Großteil blockiert.

Spezielle Angriffe auf Ihren Dienst

Technisch gesehen sind DDoS-Angriffe erst einmal sehr einfache Angriffe ohne Komplexität.

Immer häufiger ist jedoch zu beobachten, dass gezielt bestimmte Dienste (z.B. Web-Kataloge oder E-Shops) auf individuelle Weise "angegriffen" werden, z.B.:

  • Angriff auf bekannte Sicherheitslücken der Warenkorb-Funktionen Ihrer E-Shop-Software.
  • Gezieltes auszuspähen von Online-Funktionen (Datendiebstahl und Wirtschaftsspionage).
  • Versuche unbemerkt Malware einzuschleusen.
  • Häufig auch verknüpfte Aktionen, um vom eigentlichen Angriffsziel abzulenken.

Fazit: Wenn Sie auf bestimmte geschäftskritische Anwendungen angewiesen sind und Vermögensschäden vermeiden möchten, müssen zusätzliche Abwehr-Machanismen implementiert werden, um Ihre Dienste zu schützen.

Web-Firewalls und Content-Delivery Lösungen

Sogenannte Web Application Firewalls (WAF) und Content Delivery Networks (CDN) bieten keinen direkten Schutz vor DDoS-Angriffen, weil sie selbst zu Zielen von DDoS-Angriffen werden können.

WAFs und CDNs reagieren trotzdem auf DDoS-Angriffe und tragen so bei, eine Schutzwirkung insgesamt zu verbessern. Als Instrument entfalten WAFs und CDNs aber deutlich mehr Schutz und wirken auch erst dann umfassend, wenn das jeweilige Potential komplett ausgeschöpft wird:

  • WAF: Typische Lösungen werden als Reverse-Web-Proxy betrieben. Dabei werden individuelle HTTP-GET- und -POST-Regeln gepflegt und verhindern so ungewollten Dienst-Aufrufe. Die zentralen Anbieter (z.B. Akamai oder Cloudflare) führen außerdem zentrale Block-Listen mit bekannten Bot-Netzwerken, also mit Virus befallenen Zombi-PCs, welche global gefiltert werden können.
  • CDN: Um große Datenmengen verteilt an eine große Anzahl von Clients auszuliefern bietet es sich an, den jeweiligen "Content" über mehrere Server im ganzen Internet zu verteilen. Die Gesamtzahl der Anfragen verteilt sich so dynamische auf die Gesamtzahl der bereitstehenden Server in unterschiedlichen Rechenzentren. Dies schafft Stabilität und nebenbei auch noch ein reduziertes Ausfall-Risiko. CDN-Lösungen bieten wir Ihnen mit web-connect CDN auch in einfachen und modularen Lösungen.

Weitere Fragen

Sie haben weitere Fragen? Gerne helfen wir Ihnen weiter. Senden Sie uns Ihre Frage und nehmen Sie einfach Kontakt mit uns auf!