Der Schutz von Webanwendungen und Serverinfrastrukturen vor DDoS-Angriffen ist für Unternehmen mit einer Online-Präsenz keine Option mehr. Das Aufkommen von DDoS-for-hire-Diensten hat die Hürde für diejenigen, die in der Lage sind, einen Angriff auszuführen, effektiv gesenkt, so dass alle Web-Einheiten ein potenzielles Ziel sind.
Ein erfolgreicher DDoS-Angriff wirkt sich negativ auf den Ruf eines Unternehmens aus und schädigt zudem bestehende Kundenbeziehungen. Die finanziellen Verluste können sich für große Unternehmen auf bis zu 40.000 Dollar pro Stunde belaufen. Kleinere Unternehmen müssen mit Schäden in Höhe von mehreren zehntausend Dollar rechnen, während längere, nicht gemilderte Angriffe das Potenzial haben, das Geschäft zu beenden.
Gemeinsam gesprochen gibt es mehrere Ansätze, um DDoS-Angriffe zu stoppen. Die gebräuchlichsten Lösungen basieren auf Do-it-yourself-Methoden (DIY), vor Ort installierten Mitigation Appliances und externen Cloud-basierten Lösungen.
Während jede dieser Lösungen ihre eigenen Vorteile bietet, hängt ihre Gesamtwirksamkeit beim Stoppen von DDoS von einer Reihe von Faktoren ab. Dazu gehören Skalierbarkeit und Filterfunktionen, Kosten und einfache Integration sowie Benutzerfreundlichkeit und Hosting-Kompatibilität.
| Do It Yourself | On-Premise | Off-Premise | |
| CAPEX | Keine | Aufwendig | Mäßig |
| OPEX | Minimal | Aufwendig | Mäßig |
| Bereitstellungsmethode | Auf Anfrage | Auf Bedarf | Bei Bedarf /immer ein |
| Zeit bis zur Abschwächung | Bedeutend | Bedeutend | Mäßig /keine |
| Skalierbarkeit | Keine | Begrenzt | Völlig unbegrenzt |
| Filterung | Beschränkt | Bedeutend | Bedeutend |
| Benutzerfreundlichkeit | Komplex | Mäßig | Sehr einfach |
| Integration | Komplex | Mäßig | Einfach |
| Kompatibilität mit Hosting-Optionen |
Alles | Eigene und dedizierte | Alles |
DIY-Schutz
DIY-Schutz gilt weithin als schwacher Ansatz zur DDoS-Abwehr. In der Praxis beruht er auf der Festlegung statischer Schwellenwerte für den Datenverkehr (z. B. mit mod_evasive) und wahllosen IP-Blacklisting-Regeln. Sie wird meist aus Kostengründen bevorzugt und von Online-Unternehmen nur selten in Betracht gezogen.
Ein großer Nachteil von DIY-Lösungen ist, dass sie oft als reaktive Maßnahme eingesetzt werden. Fast immer wird eine Konfiguration manuell angepasst, nachdem eine erste Angriffswelle stattgefunden hat. Eine solche Lösung kann zwar ähnliche künftige Angriffe verhindern, aber die erfolgreiche erste Welle reicht in der Regel aus, um stundenlange Ausfallzeiten und andere Probleme zu verursachen.
Außerdem können die Täter ihre Methoden leicht ändern, indem sie von verschiedenen Quellen aus angreifen und unterschiedliche Vektoren verwenden. Dadurch befindet sich Ihr Unternehmen in einer defensiven Position, in der es wiederholt zusätzliche Konfigurationen bereitstellen muss, während es gleichzeitig versucht, sich von mehreren Ausfällen zu erholen. Das kann tagelang so weitergehen.
Das eigentliche Problem bei allen DIY-Ansätzen ist jedoch, dass sie immer durch die Netzwerkbandbreite eingeschränkt werden, was die Skalierbarkeit, die zum Stoppen von DDoS-Angriffen auf der Netzwerkebene erforderlich ist, stark einschränkt.
Da die meisten Angriffe mit über 10 Gbps registriert werden und nur wenige Unternehmen über einen Burst-Uplink mit mehr als 10 Gbps verfügen, ist die DIY-Lösung fast immer zum Scheitern verurteilt.
Vor-Ort-Appliances
Der Vor-Ort-Ansatz zum DDoS-Schutz verwendet Hardware-Appliances, die innerhalb eines Netzwerks vor den geschützten Servern platziert werden.
Solche Appliances verfügen in der Regel über fortschrittliche Funktionen zur Filterung des Datenverkehrs, die mit einer Kombination aus Geoblocking, Ratenbegrenzung, IP-Reputation und Signaturidentifizierung ausgestattet sind.
Typische Mitigation-Appliances können effektiv eingesetzt werden, um bösartigen eingehenden Datenverkehr herauszufiltern. Das macht sie zu einer brauchbaren Option, um Angriffe auf der Anwendungsebene zu stoppen.
Es gibt jedoch mehrere Faktoren, die es unmöglich machen, sich auf Appliances zu verlassen:
- Die Skalierbarkeit bleibt ein Problem. Die Fähigkeit der Hardware, große Mengen an DDoS-Datenverkehr zu bewältigen, wird durch den Uplink eines Netzwerks begrenzt, der selten mehr als 10 Gbps (Burst) beträgt.
- Appliances vor Ort müssen manuell eingesetzt werden, um einen Angriff zu stoppen. Dies wirkt sich auf die Reaktionszeit und die Schadensbegrenzung aus und führt häufig dazu, dass Unternehmen Ausfallzeiten erleiden, bevor ein Sicherheitsbereich eingerichtet werden kann.
- Schließlich sind die Kosten für den Kauf, die Installation und die Wartung der Hardware relativ hoch – insbesondere im Vergleich zu einer kostengünstigeren und effektiveren Cloud-basierten Option. Dies macht die Anschaffung von Mitigation Appliances unpraktisch, es sei denn, ein Unternehmen ist verpflichtet, On-Premise-Lösungen zu verwenden (z. B. aufgrund branchenspezifischer Vorschriften).
Im letzteren Szenario ist die Hardware in der Regel Teil einer hybriden Bereitstellung, bei der sie durch Cloud-basierte Lösungen ergänzt wird, die Angriffe auf der Netzwerkebene abwehren können.
Off-Premise, Cloud-basierte Lösungen
Off-Premise-Lösungen werden entweder von ISPs bereitgestellt oder sind Cloud-basiert. ISPs bieten in der Regel nur Schutz auf der Netzwerkebene, während Cloud-basierte Lösungen zusätzliche Filterfunktionen bieten, die zum Stoppen von Angriffen auf der Anwendungsebene erforderlich sind. Beide bieten eine praktisch unbegrenzte Skalierbarkeit, da sie außerhalb eines Netzwerks eingesetzt werden und nicht durch die zuvor genannten Uplink-Beschränkungen eingeschränkt sind.
Im Allgemeinen handelt es sich bei externen Mitigationslösungen um verwaltete Dienste. Sie erfordern keine Investitionen in Sicherheitspersonal oder Instandhaltung, wie sie bei Heimwerkerlösungen und vor Ort installierter Hardware erforderlich sind. Sie sind auch wesentlich kostengünstiger als Vor-Ort-Lösungen und bieten gleichzeitig einen besseren Schutz vor Bedrohungen auf Netzwerk- und Anwendungsebene.
Off-Premise-Lösungen werden entweder als On-Demand- oder als Always-On-Service bereitgestellt, wobei die meisten marktführenden Anbieter beide Optionen anbieten.
On-Demand-Option
Die On-Demand-Option wird durch BGP-Rerouting aktiviert und stoppt Angriffe auf der Netzwerkebene, einschließlich solcher, die direkt auf den Ursprungsserver und andere Komponenten der Kernnetzwerkinfrastruktur abzielen. Dazu gehören SYN- oder UDP-Floods, d. h. volumetrische Angriffe, die darauf abzielen, Netzwerkleitungen mit gefälschten Datenpaketen zu verstopfen.
Option „Always-on“
Die Option „Always-on“ wird durch DNS-Umleitung aktiviert. Sie stoppt Angriffe auf der Anwendungsebene, die versuchen, TCP-Verbindungen mit einer Anwendung herzustellen, um die Serverressourcen zu erschöpfen. Dazu gehören HTTP-Floods, DNS-Floods und verschiedene Low-and-Slow-Angriffe (z.B., Slowloris).
Sehen Sie, wie Imperva DDoS Protection Ihnen bei DDoS-Angriffen helfen kann.
Imperva DDoS Protection
Imperva entschärft eine massive HTTP-Flut: 690.000.000 DDoS-Anfragen von 180.000 Botnets IPs.
Imperva bietet einen benutzerfreundlichen, kosteneffektiven und umfassenden DDoS-Schutz, der die Grenzen der Cloud-basierten Mitigation-Technologie sprengt.
Durch eine Kombination aus On-Demand- und Always-On-Lösungen, einem globalen Netzwerk, das nahezu unbegrenzte Skalierbarkeit bietet, und preisgekrönten Filterlösungen für transparente Mitigation schützt Imperva seine Kunden vollständig vor jeder Art von DDoS-Angriffen.
Besuchen Sie hier, um mehr über die DDoS-Schutzdienste von Imperva zu erfahren.