THEMEN

So schützt man sich wirksam vor DDoS-Attacken wenn der Server den Dienst versagt
Veröffentlicht am Mittwoch, 25.März 2015 von Redaktion


Für Webmaster und Systemadministratoren ist es der absolute Super-GAU: Der eigene Server verweigert seinen Dienst. Prozessor, RAM und Festplatten sind hohen Belastungen ausgesetzt und nebenbei steigt auch noch der Traffic, obwohl Kunden die Webseite schon lange nicht mehr erreichen. Solch ein Szenario ist typisch für eine sogenannte "DDoS-Attacke", eine der meistgenutzten Formen von Attacken auf Server und Datennetze.



Das Prinzip und der Nutzen von DDoS-Attacken

DDoS ist eine Abkürzung und steht für "Distributed Denial of Service", also eine zielgerichtete und verteilte Attacke, mit dem Ziel die eigenen Systeme zu blockieren. Dies kann auf mehrere Arten geschehen: Entweder durch das Ausnutzen von Verhaltensmustern des TCP-Protokolls (SYN-Flood) sowie des ICMP-Protokolls (ICMP-Flood), durch eine hohe Anzahl verbundener Clients (Connection Flood) oder, ganz simpel, durch eine für Netzwerk und Infrastruktur nicht tragbar hohe Anzahl mehr oder weniger komplexer HTTP-Anfragen (HTTP-Flood). Je nach verwendetem Prinzip müssen die Angreifer viele Ressourcen einsetzen oder eine hohe Bandbreite bereitstellen, weswegen das Ausnutzen von Botnetzen nicht unüblich ist. Stehen dem Angreifer nur wenig Ressourcen zur Verfügung, wird häufig auf DRDoS-Attacken zurückgegriffen. Hier ist nicht der gesendete, sondern der zurückkommende Traffic für den "Denial of Service" verantwortlich.

Der Zweck von DDoS-Attacken kann je nach Angreifer und Ziel höchst unterschiedlich sein. Häufig werden sie nur als Ablenkung eingesetzt, um weitere Angriffe auf das System zu verschleiern. Deswegen ist es wichtig, sich nicht nur um die offensichtliche Bedrohung zu kümmern, sondern den Vorgang ganz genau zu analysieren. Leider ist es durch mangelnde Protokollierung gerade auf vServern nicht immer einfach, eine DDoS-Attacke als solche zu enttarnen, weswegen es beispielsweise schwierig ist, zu erkennen ob ein "Traffic-Peak", also eine ungewöhnliche Spitze im Verkehr, tatsächlich von Angreifern stammt. Im Regelfall ist ein solch hoher Anstieg aber bereits ein Indiz für eine versuchte oder teilweise geglückte DDoS-Attacke.

Wie kann ich meinen vServer vor DDoS-Attacken schützen?

Selbstverständlich ist es nicht möglich 100%-igen Schutz gegen jegliche Arten von DDoS-Attacken zu erreichen, da die Angriffe bereits heute relativ vielfältig sind, teilweise bereits kombiniert werden und zudem damit gerechnet werden kann, dass immer wieder neue Angriffstechniken entwickelt werden. Es ist aber möglich, zumindest die Auswirkungen vieler DDoS-Attacken zu mindern oder gänzlich unmerkbar zu machen. Hauptsächlich gibt es zwei verschiedene Möglichkeiten, sich wirksam gegen die Attacken zu schützen:

DDoS-Abwehr On Premise: Hierbei handelt es sich um spezielle Programme oder Hardware, die den Netzverkehr analysieren und in der Lage sind, beispielsweise unnatürlich häufig wiederkehrende Anfragen herauszufiltern. Je nachdem, ob es sich hierbei um eine Hard- oder Softwarelösung handelt, sind die Chancen dafür sogar relativ hoch. Die Tatsache, dass der Dienst direkt über die belastete Infrastruktur läuft, ist jedoch in Fällen von Resource-Flooding ein großer Nachteil.

DDoS-Abwehr als Cloud-Dienst: Durch die gesteigerte Anzahl von DDoS-Attacken in den letzten Jahren gibt es mittlerweile viele Anbieter, die sich auf den Schutz vor solchen spezialisiert haben. Genutzt wird dazu ein in die Infrastruktur des Opfers eingebundener Cloud-Dienst, der auf mehreren Ebenen funktioniert: Zunächst wird jeglicher eingehender Traffic monitorisiert und analysiert, um eine möglichst zeitnahe Früherkennung zu ermöglichen. Sollte sich hier ein Muster erkennen lassen, das auf einen Angriff hinweist, können je nach Art die Anfragen gefiltert bzw. blockiert oder der Traffic insgesamt umgeleitet werden, um die ursprüngliche Infrastruktur zu schützen. Die Struktur der Rechenzentren und die gute Netzwerkanbindung der DDoS-Dienste erlaubt es ihnen, Traffic-Spitzen von mehreren Hundert Gigabit pro Sekunde zu absorbieren.
Für Webmaster ohne entsprechende Frühwarn- und Abwehrmöglichkeiten auf dem Server  hat das Team der Mittwald CM Service GmbH & Co. KG den Rat genau auf die angreifenden IP Adressen zu achten und diese gezielt von dem Server zu blockieren. Sollte ein großes nicht zu identifizierendes Botnet dahinter stecken bleibt manchmal nur die Möglichkeit per .htaccess ganze Länder von der Internetseite auszuschließen.






letzten News

  DSGVO Besonnenheit statt Panik
 
  Schaedlinge im Netz So wird trotzdem sicher gesurft
  Gefahren aus dem Internet erkennen und vorbeugen
  Navigationsgeraete werden zunehmend von Smartphone und Tablet PC abgeloest

Kommentar:
Kommentare werden erst geprüft und dann freigeschaltet.

erlaubter HTML Code:
<b> <i> <em> <br> <strong> <blockquote> <tt> <li> <ol> <ul>
Security Code Security Code
  VIREN TICKER
weitere Informationen:
RegistryBooster
MacAfee Anti Virus