DDoS-Schutz im Rechenzentrum

Aus all-connect Hilfe-Center
Zur Navigation springen Zur Suche springen

Mit der starken Zunahme des Internets als Wirtschaftsfaktor treten bestimmte Angriffe immer häufiger auf, darunter insb. auch sogenannte Distributed-Denial-of-Service-Angriffe (DDoS).

Was steckt dahinter

Ein DDoS-Angriff zielt darauf ab, dass ein Server oder ein Dienst (z.B. E-Mail oder Web) oder eine ganze Infrastruktur nicht mehr verfügbar sind. Dies wird kann durch verschiedene Strategien erreicht werden:

  • Bandbreitenüberlastung, damit gewollte Zugriffe nicht mehr oder nur noch sehr langsam funktionieren.
  • Überlastung einzelner Systemressourcen einer Maschine, sodass diese nicht mehr antworten kann.

Bei einem DDoS-Angriff werden zahlreiche "missbräuchliche" Anfragen gleichzeitig von verschiedenen Punkten im Internet an das Ziel (also an das Opfer) gesendet. Dadurch wird der angegriffene Server oder Dienst instabil und ist unter Umständen nicht mehr verfügbar.

DDoS-Schutz bei all-connect

Im Gegensatz zu internationalen Transit-Leitungen transportiert all-connect keinen Datentransfer unterschiedlicher Nutzer von A nach B. Stattdessen ist das all-connect Rechenzentrum eines von vielen "Endpunkten" im Internet, welches international von unterschiedlichen Stellen aus erreichbar ist.

Diese Topologie der Infrastruktur lässt sich sehr einfach und zentral auf der kompletten Netzwerkebene schützen. Dazu kommen mehre Techniken zum Einsatz:

  • Bestimmte Filter-Regeln blockieren bei Netzwerk-Eintritt ungewollten Bot-Traffic
  • Massenhaft angegriffene IP-Adressen werden temporär auf eine Blackliste geführt und eingehender Traffic wird umgeleitet auf ein virtuelles Null-Netzwerk-Device. Der ungewollte Datentransfer wird so eliminiert.

Als Kunde mit Diensten im all-connect Rechenzentrum profitieren Sie daher durch die getroffenen, kontinuierlich aktiven Schutzmaßnahmen: Diese wirken bereits bei benachbarten Carriern (also z.B. auf internationalen Transit-Leitungen), indem eintreffender Traffic ständig auf verdächtige Muster überwacht und bei Bedarf gefiltert oder umgeleitet wird.

Dabei werden missbräuchliche Anfragen an Ihr System zum Großteil blockiert.

Spezielle Angriffe auf Ihren Dienst

Technisch gesehen sind DDoS-Angriffe erst einmal sehr einfache Angriffe ohne Komplexität.

Immer häufiger ist jedoch zu beobachten, dass gezielt bestimmte Dienste (z.B. Web-Kataloge oder E-Shops) auf individuelle Weise "angegriffen" werden, z.B.:

  • Angriff auf bekannte Sicherheitslücken der Warenkorb-Funktionen Ihrer E-Shop-Software.
  • Gezieltes auszuspähen von Online-Funktionen (Datendiebstahl und Wirtschaftsspionage).
  • Versuche unbemerkt Malware einzuschleusen.
  • Häufig auch verknüpfte Aktionen, um vom eigentlichen Angriffsziel abzulenken.

Fazit: Wenn Sie auf bestimmte geschäftskritische Anwendungen angewiesen sind und Vermögensschäden vermeiden möchten, müssen zusätzliche Abwehr-Machanismen implementiert werden, um Ihre Dienste zu schützen.

Web-Firewalls und Content-Delivery Lösungen

Web-Firewalls (Web Application Firewall

Sogenannte Web Application Firewalls (WAF) und Content Delivery Networks (CDN) bieten keinen direkten Schutz vor DDoS-Angriffen, weil sie selbst zu Zielen von DDoS-Angriffen werden können.

WAFs und CDNs reagieren trotzdem auf DDoS-Angriffe und tragen so bei, um eine Schutzwirkung insgesamt zu verbessern. Als Instrument entfalten WAFs und CDNs aber deutlich mehr Schutz und wirken auch erst dann umfassend, wenn das jeweilige Potential komplett ausgeschöpft wird:

  • WAF: Typische Lösungen werden als Reverse-Web-Proxy betrieben. Dabei werden individuelle HTTP-GET- und -POST-Regeln gepflegt und verhindern so ungewollten Dienst-Aufruf. Die zentralen Anbieter (z.B. Akamai oder Cloudflare) führen außerdem zentrale Block-Listen mit bekannten Bot-Netzwerken, also mit Virus befallenen Zombi-PCs, welche global gefiltert werden können.
  • CDN: Um große Datenmengen verteilt an eine große Anzahl von Clients auszuliefern bietet es sich an, den jeweiligen "Content" über mehrere Server im ganzen Internet zu verteilen. Die Gesamtzahl der Anfragen verteilt sich so dynamsiche auf die Gesamtzahl der bereitstehenden Server in unterschiedlichen Rechenzentren. Die schafft Stabilität und nebenbei auch noch ein reduziertes Ausfall-Risiko. CDN-Lösungen bieten wir Ihnen mit web-connect CDN auch in einfachen und modularen Lösungen.