default-focus-right

Abwehr eines DDoS-Angriffs (Distributed Denial of Service)

Distributed-Denial-of-Service-Angriffe (DDoS) sind seit langem eine weit verbreitete Methode, um die Bereitstellung von Diensten von Websites und anderen internetbasierten Diensten zu stören.

Die grundlegende Methode besteht darin, die Server mit so vielen Anfragen oder Datenpaketen zu überschwemmen, dass sie diese nicht bewältigen können und daher keine Dienste für legitime Benutzer anbieten können. In den letzten Jahren sind auch ausgefeiltere Angriffe aufgetaucht, die auf bestimmte Anwendungen oder Protokolle abzielen. Diese Angriffe nutzen oft kompromittierte Clients und Server im Internet, um die Anfragen zu generieren. Zunehmend werden auch Angriffe über gekaperte Internet-of-Things (IoT)-Geräte durchgeführt, da viele der aktuellen IoT-Geräte nur über einen sehr geringen Sicherheitsschutz verfügen.

Schutz der Infrastrukturebene

DDoS-Angriffe können auf mehreren Ebenen des Netzstapels ansetzen. Die ursprüngliche Art des Angriffs erfolgte auf der Infrastrukturebene, d. h. auf den Schichten 2 bis 4 des OSI-Netzes. Dabei handelt es sich um die traditionelle Art von Angriffen, die das Netz überfluten und die Server, die Dienste bereitstellen, einfach überwältigen. Es gibt mehrere Arten von Angriffen auf der Infrastrukturebene, die das Netz überfluten.

Kemp LoadMaster Integrierter Schutz vor Angriffen auf Infrastrukturebene

Art des AngriffsBeschreibung
SYN-ÜberschwemmungSYN Flood Verwendet das TCP-Handshake-Protokoll, um einen empfangenden Server zu binden, bis eine Zeitüberschreitung auftritt. Der Angreifer sendet einen SYN-Befehl, um eine TCP-Verbindung zu initiieren. Der Empfänger sendet dann ein ACK zurück, um es zu bestätigen, aber der Angreifer sendet nicht den üblichen 3. Schritt, um die Antwort zu bestätigen. Der angegriffene Server wartet, bis die Sitzung abgelaufen ist. Viele davon verhindern, dass echte Anfragen bedient werden.
TCP-ZurücksetzenGefälschte TCP-Reset-Befehle werden an den Server gesendet, wodurch die TCP-Verbindung unterbrochen wird
UDP-SturmUDP erfordert keinen Handshake wie TCP. Dies macht es anfällig für zufällige UDP-basierte Anfragen. Wenn ein Angreifer eine UDP-Anfrage für einen Dienst an einem zufälligen UDP-Port sendet, der auf dem angegriffenen Server nicht vorhanden ist, antwortet er mit einer nicht erreichbaren Zielantwort. Wenn viele nicht erfüllbare UDP-Anfragen gesendet werden, ist der angegriffene Server überfordert, wenn er versucht, zu antworten.
Reflektiertes DN

Hierbei handelt es sich um einen Angriff, bei dem gefälschte IP-Adressen in Anfragen an DNS-Server verwendet werden, so dass die DNS-Server eine große Menge an Daten an den angegriffenen Server zurücksenden. Die DNS-Antworten werden an den angegriffenen Server und nicht an den Initiator der Anfrage zurückgesendet. Die gleiche Angriffsart funktioniert bei Zeitservern im Netzwerk, allerdings mit reflektierten NTP-Anfragen und nicht mit DNS. Beide Arten von reflektierten Angriffen verwenden in der Regel Verstärkungstechniken, um die an den angegriffenen Server gesendeten Daten aufzublähen. Es ist nicht ungewöhnlich, dass die Nachrichtengröße um das 70-fache oder mehr vergrößert wird. Mit dieser Datenmenge sind die angegriffenen Server überfordert.

Ein Schutz gegen DDoS-Angriffe auf der Infrastrukturebene ist leicht verfügbar und sehr gut, wenn er richtig umgesetzt wird. Kemp LoadMaster kann alle oben genannten Arten von Angriffen erkennen und Maßnahmen ergreifen, um sie zu entschärfen.

Schutz der Anwendungsschicht

Da der Schutz vor DDoS-Angriffen auf der Infrastrukturebene ausgereift ist, haben die Angreifer Methoden entwickelt, die auf die oberen Schichten des Netzwerkstapels abzielen. Insbesondere auf der Anwendungsschicht, oder Layer 7 in OSI Begriffen. Angriffe auf der Anwendungsebene sind schwieriger abzuwehren als Angriffe auf der Infrastrukturebene, aber LoadMaster ist als Application Delivery Controller, Load-Balancer und Sicherheitstool aus logischer Sicht im Netzwerk ideal platziert, um sich dagegen zu schützen. LoadMaster verfügt über eingebaute Funktionen, die darauf zugeschnitten sind, den DDoS-Schutz auf die Anwendungsschicht auszuweiten.

Kemp LoadMaster: Integrierter Schutz vor Angriffen auf Anwendungsebene

Art des AngriffsBeschreibung 
GET-flood Bei GET-Flood-Angriffen werden die veröffentlichten URLs für Anwendungen und Dienste auf einem Server immer wieder angefordert. Dadurch wird verhindert, dass andere legitime Anfragen in akzeptablen Zeiträumen bearbeitet werden.
POST-flood Bei diesem Angriff wird ein Tool verwendet, das nur für den Zweck entwickelt wurde, Websites ins Visier zu nehmen. Nur der Webdienst ist von dem Angriff betroffen, so dass andere Dienste normal ausgeführt werden. Das Tool öffnet mehrere Verbindungen und hält sie so lange wie möglich offen, indem es partielle HTTP-Anforderungen sendet, die nie abgeschlossen werden. Schließlich gehen dem Webdienst die Verbindungen aus und er ist im Wesentlichen nicht mehr verfügbar.

Weiterer Schutz

Neben dem Einsatz von Kemp LoadMaster als Kernstück eines jeden DDoS-Schutzes gibt es noch weitere Maßnahmen, die ergriffen werden können. Alle Netzwerkgeräte wie Firewalls, Router und Intrusion-Detection-Systeme sollten mit den neuesten Softwareversionen auf dem neuesten Stand gehalten werden.

Wichtige Dienste sollten auf mehrere Server verteilt werden, wobei LoadMaster die Verbindungen zu diesen Servern verwaltet. Wenn möglich, sollten die Server über mehr als ein Netzwerkrechenzentrum verteilt sein. Eine gute Option ist es, Kapazitäten in einem Cloud-Service wie Azure oder AWS zu platzieren, möglicherweise in einem hybriden oder reinen Cloud-Einsatz. Auch hier verwaltet LoadMaster die Anfragen und verteilt die Last auf die Server, unabhängig von deren Standort.

Lernen Sie den Kemp LoadMaster noch heute kennen.


30 Tage Testversion Kontakt Vertrieb