ake78 (3D & photo) - Fotolia
3 Möglichkeiten, DDoS-Angriffe auf Netzwerke zu verhindern
DDoS-Angriffe auf Netzwerke können verheerende und teure Schäden für Unternehmen zur Folge haben. Erfahren Sie, wie Sie DDoS-Angriffe verhindern und darauf reagieren können.
Denial-of-Service- oder DoS-Angriffe kamen in den frühen Tagen des Webs und der Kommerzialisierung des Internets auf. Diese Angriffe führen buchstäblich zur Verweigerung des Dienstes und zur Verknappung der Ressourcen; in vielen Fällen pingen die Angreifer einfach ein Netzwerk oder einen Server an, um ihn auszulasten.
Zur Verteidigung reagierten Unternehmen und Service-Provider, indem sie Geräte, von denen die Angriffe ausgingen, auf eine Blockliste setzten. Als das Katz-und-Maus-Spiel immer ausgeklügelter wurde, begannen die Angreifer, Tausende von Bots einzusetzen, um sogenannte verteilte DoS-Angriffe (Distributed Denial-of-Service, DDoS) durchzuführen.
Bei einem solchen Angriff wurden beispielsweise mehrere Hunderttausend Bots in einem Rotationsverfahren über eine Bot-Armee von mehr als 3 Millionen Geräten verteilt, um einen Nationalstaat anzugreifen und einen Regierungsdienst lahmzulegen. Dieser Angriff generierte über 500 Gbit/s an Datenverkehr.
Wie man DDoS-Angriffe auf Netzwerke verhindert
Wie kann ein Unternehmen darauf reagieren? Die folgenden drei Ansätze beschreiben, wie man DDoS-Attacken auf Netzwerke verhindern oder darauf reagieren kann:
-
Kaufen Sie einen Service von einem Internet Service Provider (ISP). Viele ISPs bieten DDoS-Abwehrdienste an. Aber wenn ein Unternehmensnetzwerk angegriffen wird, muss die Firma den Vorfall an den ISP melden, damit die Mitigation beginnt. Diese Strategie wird als Clean Pipe bezeichnet und ist bei ISPs beliebt, da sie für den Service Gebühren erheben. Allerdings führt das oft zu einer 30- bis 60-minütigen Verzögerung, bevor die Mitigation beginnt.
-
Behalten Sie es im Haus und machen Sie es selbst. Unternehmen können DDoS-Angriffe mit einem Intrusion-Prevention-System (IPS), Firewall-Technologie und spezieller Hardware zur Abwehr von DDoS-Angriffen intern verhindern und darauf reagieren. Leider befindet sich der betroffene Datenverkehr bereits im Netzwerk und verschlingt wertvolle Bandbreite. Daher eignet sich dieser Ansatz am besten für Unternehmen mit Geräten in Colocation-Einrichtungen, wo der Datenverkehr über eine Cross-Connect-Verbindung zu ISPs gelangt, die die Downstream-Bandbreite für den Rest des Unternehmens schützt.
-
Verwenden Sie ein Content Delivery Network (CDN). Dieser Ansatz minimiert die Belastung der Unternehmensinfrastruktur, da IT-Teams die Infrastruktur hinter einem CDN platzieren können. Diese Netzwerke sind groß und vielfältig, und wenn das Unternehmen DNS- und DDoS-Schutzmaßnahmen abonniert, können sie E-Commerce-Websites ebenso schützen wie das Unternehmen selbst.
Wie wählt man eine Option zur DDoS-Abwehr aus?
Welcher Ansatz ist der beste, um auf DDoS-Angriffe gegen Netzwerke zu reagieren oder sie zu verhindern? Wie immer in dieser komplexen Welt, kommt es darauf an. Allerdings haben nur wenige Unternehmen jenseits großer E-Commerce-Anbieter die Möglichkeit, einen DIY-Ansatz richtig umzusetzen. Kleine E-Commerce-Anbieter sollten ein CDN nutzen, und die meisten mittelständischen Unternehmen wären mit einer Kombination aus den Optionen eins und drei gut bedient.
Eine Kombination könnte E-Commerce auf einem CDN beinhalten, mit DDoS-Abwehr für den Internetzugang des Unternehmens und VPN-Services. Einige Anbieter können beides und vereinfachen so das Vertragsmanagement.