Das Risiko für erfolgreiche DDoS-Angriffe minimieren

Was ist ein DDoS-Angriff?

Bei DDoS-Angriffen erstellen böswillige Akteure ein Botnet – ein Netzwerk aus infizierten Computern und Endpunkten – und verwenden einen Command-and-Control-Server, um den Webverkehr oder Anfragen auf einen bestimmten Zielserver oder ein bestimmtes Zielnetzwerk zu leiten.

Die meisten DDoS-Angriffe sind volumetrisch und darauf ausgelegt, mehr Datenverkehr oder Anfragen zu generieren als ein System, ein Server oder ein Netzwerk verarbeiten kann. DDoS-Angriffe erfolgen häufig auf der Infrastruktur- oder Anwendungsschicht des OSI-Modells, können aber auch auf die Transport-, Sitzungs- oder Netzwerkschicht abzielen. Beispiele für DDoS-Angriffe sind Paket- oder Anforderungsfluten, Paketfragmentierung und Verstärkungsangriffe.

Das Ziel eines DDoS-Angriffs besteht darin, das angegriffene Netzwerk, die angegriffene Website oder andere Ressource für legitime Benutzer unerreichbar zu machen. Dies führt zu Kundenverlusten, einem negativen Imageeffekt und hohen Kosten für die Behebung für die Zielorganisation.

Strategien zur Verhinderung eines DDoS-Angriffs

Es gibt keine Patentlösung zur Verhinderung von DDoS-Angriffen. Stattdessen sollten Organisationen einige oder alle der folgenden Strategien umsetzen, um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu verringern.

1. Erstellen Sie einen Reaktionsplan

Erstellen Sie einen DDoS-Reaktionsplan nach der gleichen Methodik wie einen Plan für die Reaktion auf Zwischenfälle, die Wiederherstellung im Katastrophenfall oder die Aufrechterhaltung des Geschäftsbetriebs (BC/DR-Plan). Das Dokument sollte spezifische Schritte zur Verhinderung und Abschwächung eines DDoS-Angriffs skizzieren. Zu den wichtigsten Komponenten des Plans gehören die folgenden:

• Eine Checkliste mit umsetzbaren Schritten, die das Sicherheitsteam und andere Beteiligte befolgen können.
• Kontaktinformationen der Mitglieder des DDoS-Reaktionsteams.
• Der Ort, an dem Datensicherungen vor externen Angriffen geschützt sind.
• Eskalations- und/oder Triageverfahren.
• Ein Kommunikationsplan für Angriffe.

2. Überwachung auf ungewöhnlichen oder verdächtigen Datenverkehr

Beobachten Sie den Netzwerkverkehr kontinuierlich mit einem Intrusion Detection System (IDS), Firewalls und Protokollüberwachungs-Tools. Überwachen Sie auf frühe Anzeichen eines DDoS-Angriffs, beispielsweise anomale Spitzen im Webverkehr, ungewöhnliche Verkehrsmuster, mehrere Verbindungsanfragen von denselben IP-Adressen und zahlreiche Anfragen, die auf einen bestimmten Endpunkt oder ein bestimmtes System gerichtet sind.

3. Das Patch-Management aktuell halten

Installieren Sie die neuesten Software-Patches und -Upgrades. Eine ordnungsgemäße Patch-Verwaltung macht es Angreifern schwerer, Schwachstellen auszunutzen.

4. Die Angriffsfläche verkleinern

Die Reduzierung der Angriffsfläche ermöglicht es Unternehmen, die Präventionsmaßnahmen an anderer Stelle zu verstärken. Schließen oder begrenzen Sie den externen Zugriff auf selten genutzte Ports und Anwendungen, damit böswillige Hacker weniger Angriffsmöglichkeiten haben. Verwenden Sie Load Balancer und Zugriffskontrolllisten (ACL), um zu verhindern, dass nicht autorisierter externer Datenverkehr bestimmte Ports und Anwendungen erreicht und beeinträchtigt.

5. Aufstockung der Netzwerkbandbreite und der Serverkapazität

Implementieren Sie eine Netzwerksteuerung oder -richtlinie, die automatisch die Bandbreite oder Kapazität erhöht, um zu verhindern, dass ein DDoS-Angriff einen ganzen Server oder ein ganzes Netzwerk zum Erliegen bringt. Diese Methode kann sich zwar nicht jedes Unternehmen leisten, aber sie verschafft den Sicherheits- und Netzwerkteams Zeit, einen DDoS-Angriff zu stoppen, bevor er sich auf die Endnutzer auswirkt.

6. Cloud-Infrastruktur nutzen

Die Cloud-Infrastruktur ist ebenfalls anfällig für DDoS-Angriffe, kann aber Unternehmen dabei helfen, DDoS-Angriffe zu verhindern, indem sie die Skalierbarkeit der Reaktion und die Verteilung der Dienste ermöglicht. Durch die Nutzung von Cloud-Diensten, die näher am Ursprung des Angriffs liegen, können Unternehmen den Angriff schneller stoppen und den Betrieb der Dienste aufrechterhalten.

7. Ein Scrubbing Center verwenden

Beim Scrubbing wird der gesamte Datenverkehr an eine bestimmte IP-Adresse an ein Rechenzentrum mit hoher Bandbreite weitergeleitet. Das Rechenzentrum prüft den Datenverkehr, entfernt bösartige Inhalte und leitet nur legitimen Datenverkehr an sein Ziel weiter. Unternehmen können den Datenverkehr kontinuierlich so behandeln oder den Dienst nur während eines aktiven DDoS-Angriffs nutzen.

8. Umsetzung der Ratenbegrenzung

Die Ratenbegrenzung beschränkt die Anzahl der Anfragen, die ein Webserver innerhalb eines bestimmten Zeitraums annimmt. Dies hilft, DDoS-Angriffe zu verhindern, indem übermäßiger oder anormaler Datenverkehr abgelehnt wird. Die Ratenbegrenzung trägt auch zum Schutz vor API-Missbrauch bei.

9. Verwendung eines Content Delivery Network (CDN)

Ein CDN (Content Delivery Network) ist eine Gruppe von weltweit verteilten Servern, die Inhalte zwischenspeichern und zum Schutz von Websites beitragen, indem sie bösartigen Datenverkehr filtern und blockieren. CDNs verteilen den Website-Verkehr auf mehrere Server, um zu verhindern, dass ein Hauptserver der Website überlastet wird und abstürzt.

10. Einsatz einer Web Application Firewall

Eine WAF (Web Application Firewall) ist eine Firewall, die den HTTP-Verkehr auf der Anwendungsebene analysiert. WAFs sind Netzwerk-, Host- oder Cloud-basiert. Mit einer WAF können Unternehmen Folgendes tun:

• Ausgefeilte Konstellationen und Regeln zur Überprüfung von Datenpaketen auf granularer Ebene erstellen.
• Bösartigen Netzwerkverkehr, der für Webanwendungen bestimmt ist, filtern und blockieren.
• Ein Sicherheitsmodell zur Überwachung von „gutem“ und „schlechtem“ Internetverkehr über geografische Regionen hinweg entwickeln.

11. Einen Anbieter von DDoS-Abwehrmaßnahmen beauftragen

Unternehmen mit begrenzten Budgets können die DDoS-Prävention und -Eindämmung an einen Dritten auslagern. Anbieter wie Link11, Cloudflare und Akamai bieten Präventionstechniken auf Unternehmensniveau, um DNS, Anwendungen, APIs, Webinfrastruktur und Websites vor längeren Ausfallzeiten nach einem DDoS-Angriff zu schützen.