DDoS-Abschwächung
Eine DDoS-Abschwächung ist eine Reihe von Netzwerk-Verwaltungstechniken und/oder Werkzeugen, um die Auswirkungen einer verteilten Dienstverweigerungs-Attacke (englisch distributed denial-of-service, DDoS) auf mit dem Internet verbundenen Netzwerken zu überstehen oder abzuwehren, indem Ziele und Relay-Netzwerke geschützt werden.
Wirkungsweise
BearbeitenDDoS-Abschwächung funktioniert, indem die Grundbedingungen für den Netzwerkverkehr identifiziert und deren „Verkehrsmuster“ analysiert wird, um Gefahren zu entdecken und zu alarmieren.[1] DDoS-Abschwächung muss auch einkommenden Verkehr identifizieren, um menschliche Zugriffe von menschenähnlichen Robotern und gekaperten Webbrowsern zu unterscheiden. Es ist auch wichtig zu bedenken, dass eine Abschwächung nicht auf code-basierter Software funktioniert. Dieser Prozess beinhaltet das Vergleichen von Signaturen und das Untersuchen von verschiedenen Attributen des Verkehrs, inklusive IP-Adressen, Cookie-Verschiedenheiten, HTTP-Headern und Browser-Fingerabdrücken.
Nachdem eine Gefahr erkannt wurde, ist der nächste Schritt die Filterung. Filterung kann durch Anti-DDoS-Technologien, wie Verbindungsverfolgung, IP-Reputationslisten, Deep Packet Inspection, Blacklisting/Whitelisting oder Durchsatzratenbegrenzung erledigt werden.[2][3]
Eine Technik ist, den Netzwerkverkehr, der an ein potenzielles Zielnetzwerk gerichtet ist, über Hochleistungsnetzwerke mit „Traffic Scrubbing“-Filtern weiterzuleiten.[1]
Manuelle DDoS-Abschwächung wird nicht mehr empfohlen, aufgrund der Größe der Angriffe, die in vielen Firmen/Organisationen oft die verfügbaren Humanressourcen übersteigt.[4] Andere Methoden zur Verhinderung von DDoS-Angriffen können implementiert werden, beispielsweise lokale und/oder cloudbasierte Lösungsanbieter. Lokale Schadensbegrenzungstechnologie (meistens ein Hardware-Gerät) ist oft vor dem Netzwerk platziert. Das würde die maximale Bandbreite auf die vom Internetdienstanbieter vorgesehene begrenzen.[5] Häufige Methoden sind Hybrid-Lösungen, indem lokale Filterung und cloud-basierte Lösungen kombiniert werden.[6]
Angriffsmethoden
BearbeitenDDoS-Attacken sind eine konstante Gefahr auf Geschäfte und Organisationen, da sie die Leistungen von Diensten verzögern, oder eine Website komplett abschalten.[7] Sie werden gegen Internetseiten und Netzwerken von ausgewählten Opfern ausgeführt. Eine Reihe von Anbietern bieten „DDoS-resistente“ Hosting-Dienste an, die meist auf ähnlichen Techniken wie Content-Delivery-Netzwerken basieren. Die Verteilung vermeidet einen einzigen Staupunkt und verhindert, dass sich der DDoS-Angriff auf ein einzelnes Ziel konzentriert.
Eine Technik von DDoS-Angriffen ist, falsch konfigurierte Drittanbieter-Netzwerke mit Hilfe von Verstärkung[8] von gefälschten UDP-Paketen zu attackieren. Die ordnungsgemäße Konfiguration der Netzwerkausrüstung, die Eingangs- und Ausgangsfilterung ermöglicht, wie in BCP 38[9] und RFC 6959[10] dokumentiert, verhindert Verstärkung und Spoofing und reduziert so die Anzahl der für Angreifer verfügbaren Relay-Netzwerke.
Abschwächungsmethoden
Bearbeiten- Verwenden des Client-Puzzle-Protokolls oder des Guided-Tour-Puzzle-Protokolls
- Nutzung des Content Delivery Network
- Blacklisting von IP-Adressen
- Verwenden eines Intrusion-Erkennungs-Systems und Firewall
Siehe auch
BearbeitenEinzelnachweise
Bearbeiten- ↑ a b Pierluigi Paganini: Choosing a DDoS mitigation solution…the cloud based approach In: Cyber Defense Magazine, 10. Juni 2013. Abgerufen im 25. März 2024 (englisch).
- ↑ Duncan Geere: How deep packet inspection works In: Wired.com, 27. April 2012. Abgerufen im 25. März 2024 (englisch).
- ↑ Dan Patterson: Deep packet inspection: The smart person’s guide In: Techrepublic.com, 9. März 2017. Abgerufen im 25. März 2024 (englisch).
- ↑ Francis Tan: DDoS attacks: Prevention and Mitigation In: The Next Web, 2. Mai 2011. Abgerufen im 25. März 2024 (englisch).
- ↑ Sean Leach: Four ways to defend against DDoS attacks ( des vom 12. Juni 2018 im Internet Archive) In: Networkworld.com, 17. September 2013. Abgerufen im 25. März 2024 (englisch).
- ↑ Robin Schmitt: Choosing the right DDoS solution ( des vom 12. Juni 2018 im Internet Archive) In: Enterpriseinnovation.net, 2. September 2017. Abgerufen im 24. März 2024 (englisch).
- ↑ Marc Gaffan: The 5 Essentials of DDoS Mitigation In: Wired.com, 20. Dezember 2012. Abgerufen im 25. März 2014 (englisch).
- ↑ Christian Rossow: Amplification DDoS. In: christian-rossow.de.
- ↑ Daniel Senie, Paul Ferguson: Network Ingress Filtering: IP Source Address Spoofing. IETF, 2000, abgerufen am 25. Mai 2024 (englisch).
- ↑ Danny R. McPherson, Fred Baker, Joel M. Halpern: RFC: – Source Address Validation Improvement (SAVI) Threat Scope. 2013 (englisch).