DDoS-Abschwächung

Eine DDoS-Abschwächung ist eine Reihe von Netzwerk-Verwaltungstechniken und/oder Werkzeugen, um die Auswirkungen einer verteilten Dienstverweigerungs-Attacke (englisch distributed denial-of-service, DDoS) auf mit dem Internet verbundenen Netzwerken zu überstehen oder abzuwehren, indem Ziele und Relay-Netzwerke geschützt werden.

Wirkungsweise

DDoS-Abschwächung funktioniert, indem die Grundbedingungen für den Netzwerkverkehr identifiziert und deren „Verkehrsmuster“ analysiert wird, um Gefahren zu entdecken und zu alarmieren.^[1] DDoS-Abschwächung muss auch einkommenden Verkehr identifizieren, um menschliche Zugriffe von menschenähnlichen Robotern und gekaperten Webbrowsern zu unterscheiden. Es ist auch wichtig zu bedenken, dass eine Abschwächung nicht auf code-basierter Software funktioniert. Dieser Prozess beinhaltet das Vergleichen von Signaturen und das Untersuchen von verschiedenen Attributen des Verkehrs, inklusive IP-Adressen, Cookie-Verschiedenheiten, HTTP-Headern und Browser-Fingerabdrücken.

Nachdem eine Gefahr erkannt wurde, ist der nächste Schritt die Filterung. Filterung kann durch Anti-DDoS-Technologien, wie Verbindungsverfolgung, IP-Reputationslisten, Deep Packet Inspection, Blacklisting/Whitelisting oder Durchsatzratenbegrenzung erledigt werden.^[2][3]

Eine Technik ist, den Netzwerkverkehr, der an ein potenzielles Zielnetzwerk gerichtet ist, über Hochleistungsnetzwerke mit „Traffic Scrubbing“-Filtern weiterzuleiten.^[1]

Manuelle DDoS-Abschwächung wird nicht mehr empfohlen, aufgrund der Größe der Angriffe, die in vielen Firmen/Organisationen oft die verfügbaren Humanressourcen übersteigt.^[4] Andere Methoden zur Verhinderung von DDoS-Angriffen können implementiert werden, beispielsweise lokale und/oder cloudbasierte Lösungsanbieter. Lokale Schadensbegrenzungstechnologie (meistens ein Hardware-Gerät) ist oft vor dem Netzwerk platziert. Das würde die maximale Bandbreite auf die vom Internetdienstanbieter vorgesehene begrenzen.^[5] Häufige Methoden sind Hybrid-Lösungen, indem lokale Filterung und cloud-basierte Lösungen kombiniert werden.^[6]

Angriffsmethoden

DDoS-Attacken sind eine konstante Gefahr auf Geschäfte und Organisationen, da sie die Leistungen von Diensten verzögern, oder eine Website komplett abschalten.^[7] Sie werden gegen Internetseiten und Netzwerken von ausgewählten Opfern ausgeführt. Eine Reihe von Anbietern bieten „DDoS-resistente“ Hosting-Dienste an, die meist auf ähnlichen Techniken wie Content-Delivery-Netzwerken basieren. Die Verteilung vermeidet einen einzigen Staupunkt und verhindert, dass sich der DDoS-Angriff auf ein einzelnes Ziel konzentriert.

Eine Technik von DDoS-Angriffen ist, falsch konfigurierte Drittanbieter-Netzwerke mit Hilfe von Verstärkung^[8] von gefälschten UDP-Paketen zu attackieren. Die ordnungsgemäße Konfiguration der Netzwerkausrüstung, die Eingangs- und Ausgangsfilterung ermöglicht, wie in BCP 38^[9] und RFC 6959^[10] dokumentiert, verhindert Verstärkung und Spoofing und reduziert so die Anzahl der für Angreifer verfügbaren Relay-Netzwerke.

Abschwächungsmethoden

• Verwenden des Client-Puzzle-Protokolls oder des Guided-Tour-Puzzle-Protokolls
• Nutzung des Content Delivery Network
• Blacklisting von IP-Adressen
• Verwenden eines Intrusion-Erkennungs-Systems und Firewall

Siehe auch

• Sicherheitslücke
• DDoS
• Computerkriminalität
• Cyberattacke
• VPN

Einzelnachweise

1. Pierluigi Paganini: Choosing a DDoS mitigation solution…the cloud based approach In: Cyber Defense Magazine, 10. Juni 2013. Abgerufen im 25. März 2024 (englisch). 
2. Duncan Geere: How deep packet inspection works In: Wired.com, 27. April 2012. Abgerufen im 25. März 2024 (englisch). 
3. Dan Patterson: Deep packet inspection: The smart person’s guide In: Techrepublic.com, 9. März 2017. Abgerufen im 25. März 2024 (englisch). 
4. Francis Tan: DDoS attacks: Prevention and Mitigation In: The Next Web, 2. Mai 2011. Abgerufen im 25. März 2024 (englisch). 
5. Sean Leach: Four ways to defend against DDoS attacks (Memento des Originals vom 12. Juni 2018 im Internet Archive) In: Networkworld.com, 17. September 2013. Abgerufen im 25. März 2024 (englisch). 
6. Robin Schmitt: Choosing the right DDoS solution (Memento des Originals vom 12. Juni 2018 im Internet Archive) In: Enterpriseinnovation.net, 2. September 2017. Abgerufen im 24. März 2024 (englisch). 
7. Marc Gaffan: The 5 Essentials of DDoS Mitigation In: Wired.com, 20. Dezember 2012. Abgerufen im 25. März 2014 (englisch). 
8. Christian Rossow: Amplification DDoS. In: christian-rossow.de. Abgerufen im 1. Januar 1 
9. Daniel Senie, Paul Ferguson: Network Ingress Filtering: IP Source Address Spoofing. IETF, 2000, abgerufen am 25. Mai 2024 (englisch). 
10. Danny R. McPherson, Fred Baker, Joel M. Halpern: RFC 6959 – Source Address Validation Improvement (SAVI) Threat Scope. 2013 (englisch).