Wie erkenne ich eine DDoS-Attacke und wie schütze ich mich davor?

Die Distributed Denial of Service-, kurz: DDoS-Attacke, ist eine der häufigsten Formen von Hackerangriffen im Internet. Die Attacke besteht aus der Simulation einer Vielzahl an Anfragen, häufig an einen Webserver, die dieser mit seinem gegebenen Trafficvolumen nicht mehr bearbeiten kann. Das Resultat ist eine Dienstverweigerung: Der Server ist derartig beschäftigt, dass beispielsweise eine Website nicht mehr erreichbar ist. Häufig ist nicht die DDoS-Attacke selbst das Ziel, sondern lediglich ein Ablenkungsmanöver, um während der Bearbeitung der Serverüberlastung zum Beispiel unbemerkt Schadsoftware ins System zu speisen. Der Endnutzer bekommt von der Attacke nicht allzu viel mit, er bemerkt in der Regel nur, dass eine bestimmte Seite nicht zu erreichen ist oder dass eine Software keine Anfragen mehr bearbeitet. Das kann viele Gründe haben. Dennoch ist insbesondere bei DDoS-Attacken wichtig, dass sie schnell erkannt werden. Wie lässt sich das realisieren?

Wie erkenne ich eine DDoS-Attacke?

Um im Auge zu behalten, ob das eigene Netzwerk einem Angriff ausgesetzt ist, bieten sich verschiedene Monitoring-Tools an. DDoS-Attacken sind ohne genaues Monitoring mitunter schwierig zu erkennen, da es verschiedene Wege gibt, sie zu initiieren. So kann ein Server beispielsweise einer unerwartet großen Anzahl an (simulierten) TCP-Verbindungen ausgesetzt werden. Möglich ist auch eine dauerhafte Flutung mit falschen Login-Daten, bei denen der Server ständig prüfen muss, ob sie der Richtigkeit entsprechen – und so schnell an seine Belastungsgrenze stößt. Nichtsdestotrotz weisen die Attacken meist ein bestimmtes Muster auf, dass bei entsprechend genauer Beobachtung entdeckt werden kann. Aber wie kann man sich effektiv gegen DDoS-Attacken schützen? Hierbei werden zwei Methoden unterschieden:

Schutz gegen DDoS: Variante 1, “On Premise”

Einer DDoS-Attacke kann nur vorgebeugt werden, wenn der ankommende Traffic auf ein System irgendwie gefiltert oder umgeleitet wird. Bei der Variante “On Premise” wird dabei eine Vorrichtung installiert, die direkt am Server oder am Provider ankommenden Traffic filtert und nur sauberen Traffic weiterleitet. Der Vorteil dieser Methode ist, dass sie keinerlei Eingriff in eine bestehende Netzinfrastruktur voraussetzt. Der Nachteil: Gegen großangelegte Angriffe mit hohem Datenvolumen hilft auch die On-Premise-Methode nicht, da der Upstream-Provider schnell überlastet sein kann.

Schutz gegen DDoS: Variante 2, “In the Cloud”

Bei dem DDoS Schutz “In the Cloud” wird im Prinzip ebenfalls eine Filterung vorgenommen. Für diese effektivere Methode braucht es allerdings einen Eingriff in die Netzwerkinfrastruktur. Das Rechenzentrum erhält eine sogenannte “Scrubbing-Abteilung” (von “to scrub” = putzen, scheuern), die den Traffic sauber hält. Über das BGP-Protokoll landet jeder ankommende Datenverkehr zunächst in der Scrubbing-Abteilung und wird gegebenenfalls über einen GRE-Tunnel weitergeleitet. Die Cloud-Lösung wird von verschiedenen Netzwerksicherheitsdienstleistern als On-Demand-Lösung angeboten. Das heißt, sie kommt nur zum Einsatz, wenn der Kunde einen entsprechenden Angriff vermutet. Sie kann allerdings auch dauerhaft eingesetzt werden (“always on”).

Fazit: Schutzbedarf ermitteln und für eine Methode entscheiden

Je nachdem wie kritisch die zu schützenden Daten sind, braucht es einen entsprechend hohen DDos Schutz. Wichtig ist außerdem ein ausreichendes Monitoring, um im Angriffsfall schnell genug reagieren zu können. Müssen darüber hinaus dauerhaft sicherheitskritische Daten, beispielsweise eine große Anzahl sensibler Kundendaten, geschützt werden, bietet sich eine entsprechend starke Lösung wie ein permanenter In-the-Cloud-Schutz an.