Im Oktober 2016 wurde der DNS-Dienstanbieter Dyn von einem Distributed Denial of Service (DDoS)-Angriff einer Armee speziell gehackter IoT-Geräte getroffen. Mehr als 14,000 Domains, die die Dienste von Dyn nutzen, wurden überlastet und unzugänglich gemacht, darunter große Namen wie Amazon, HBO und PayPal.
Einer Studie von Cloudflare zufolge lagen die durchschnittlichen Kosten eines Infrastrukturausfalls für Unternehmen damals bei 100,000 USD (75,000 £). Wie können Sie also sicherstellen, dass Ihr Unternehmen nicht Opfer dieser Art von Angriffen wird? In diesem Leitfaden erfahren Sie mehr über die führenden Infrastrukturanbieter mit der digitalen Macht zum Schutz vor Angriffen, die darauf abzielen, Ihre Netzwerkkapazität zu überfordern.
Außerdem erfahren Sie, welche Anbieter Schutz vor Angriffen durch anspruchsvollere Anwendungen (Schicht 7) bieten können, was ohne eine große Anzahl gehackter Computer (manchmal auch Botnetz genannt) möglich ist.
1. Projektschild
Leistungsstarker Schutz vor Google-DDoS-Angriffen, aber nicht jeder ist dazu eingeladen
Nutzen Sie die Infrastruktur von Google.
Sehr einfache Konfiguration
Nur für bestimmte Websites verfügbar
Project Shield ist die Idee von Jigsaw, einer Tochtergesellschaft von Google und Alphabet. Die Entwicklung begann vor einigen Jahren unter George Conard als Folge von Angriffen auf ukrainische Menschenrechts- und Wahlbeobachtungs-Websites.
Project Shield kann potenziellen böswilligen Datenverkehr filtern, indem es als Reverse-Proxy zwischen einer Website und dem weiteren Internet fungiert und Verbindungsanfragen filtert. Wenn eine Verbindung scheinbar von einem legitimen Besucher stammt, autorisiert Project Shield die Verbindungsanfrage. Wenn eine Verbindungsanfrage als fehlerhaft eingestuft wird, beispielsweise mehrere Verbindungsversuche von derselben IP-Adresse, wird sie blockiert. Mit diesem System lässt sich Project Shield äußerst einfach implementieren, indem Sie einfach die DNS-Einstellungen Ihrer Server ändern.
Jeder, der lesen kann, fragt sich vielleicht, wie das Filtern des Datenverkehrs über einen Proxy mit SSL funktionieren wird. Glücklicherweise hat Jigsaw daran gedacht und ein umfassendes Tutorial zusammengestellt, um sicherzustellen, dass sichere Verbindungen zu Ihrer Website reibungslos funktionieren. Im Support-Bereich sind auch verschiedene weitere Tutorials verfügbar.
Derzeit ist Project Shield nur für Medien, Wahlbeobachtung und Menschenrechts-Websites verfügbar. Der Schwerpunkt liegt auch auf kleinen und unterfinanzierten Websites, die sich keine teuren Hosting-Lösungen leisten können, um sich vor DDoS-Angriffen zu schützen. Wenn Ihr Unternehmen diese Anforderungen nicht erfüllt, müssen Sie möglicherweise eine andere Lösung in Betracht ziehen, beispielsweise Cloudflare.
2. Wolkenbruch
Der Gigant des DDoS-Schutzes.
Branchenführer für DoS-Lösungen.
Das kostenlose Kontingent beinhaltet einen Basisschutz.
Business-Pakete sind relativ teuer
Jeder, der in den letzten Jahren das Internet genutzt hat, wird Cloudflare kennen, da viele der größten Websites seinen Schutz nutzen. Obwohl Cloudflare seinen Hauptsitz in den USA hat, verwaltet es 165 Rechenzentren auf der ganzen Welt – eine Infrastruktur, die mit Google vergleichbar ist. Dies maximiert die Chancen, dass Ihre Websites online bleiben.
Jeder Cloudflare-Benutzer kann den „Ich werde angegriffen“-Modus aktivieren, der durch die Darstellung einer Javascript-Herausforderung vor den ausgefeiltesten Denial-of-Service-Angriffen schützen kann. Cloudflare fungiert außerdem häufig als Reverse-Proxy zwischen Besuchern und dem Host Ihrer Website, um den Datenverkehr auf die gleiche Weise wie Jigsaw Project Shield zu filtern. Im März 2019 wurde Spectrum for UDP eingeführt, das Schutz vor DDoS-Angriffen und eine Firewall für unzuverlässige Protokolle bietet.
Besucher, die Verbindungsanfragen stellen, müssen eine Reihe ausgefeilter Filter durchführen, darunter die Reputation der Website, die Frage, ob ihre IP auf der schwarzen Liste steht und ob der HTTP-Header verdächtig aussieht. HTTP-Anfragen werden zum Schutz vor bekannten Zombie-Netzwerken mit einem Fingerabdruck versehen. Als Branchenriese kann Cloudflare seine Position leicht ausnutzen, indem es Informationen auf mehr als 7 Millionen Websites teilt.
Cloudflare bietet ein kostenloses Basispaket an, das eine unbegrenzte DDoS-Angriffsbegrenzung beinhaltet. Für diejenigen, die bereit sind, für eine kommerzielle Cloudflare-Mitgliedschaft zu zahlen (die Preise beginnen bei 200 $ oder 149 £ pro Monat), ist ein erweiterter Schutz verfügbar, beispielsweise das Herunterladen benutzerdefinierter SSL-Zertifikate.
3. AWS Shield
Hervorragende grundlegende Abwehr von DDoS-Angriffen mit mehr
Der kostenlose Standard-Tarif schützt vor den häufigsten Angriffen.
Einfache Installation
Die fortgeschrittene Stufe ist sehr teuer
Der AWS Shield-Schutz wird von kompetenten Personen bei Amazon Web Services bereitgestellt. Die Stufe „Standard“ steht allen AWS-Kunden ohne zusätzliche Kosten zur Verfügung. Dies ist ideal, da sich viele kleine Unternehmen dafür entscheiden, ihre Websites bei Amazon zu hosten. AWS Shield Standard steht allen Kunden ohne zusätzliche Kosten zur Verfügung. Schützt vor typischeren Netzwerk- (Layer 3) und Transportangriffen (Layer 4) bei Verwendung der Cloud Front- und Route 53-Dienste von Amazon.
Dies sollte alle bis auf die entschlossensten Piraten abschrecken. Allerdings wird Ihre Bandbreite, beispielsweise 15 Gbit/s, immer noch durch die Größe Ihrer Amazon-Instanz begrenzt, sodass Hacker einen DoS-Angriff durchführen können, wenn sie über genügend Ressourcen verfügen. Schlimmer noch: Sie sind immer noch dafür verantwortlich, für zusätzlichen Datenverkehr zu Ihrer Instanz zu zahlen.
Um dies zu mildern, bietet Amazon auch AWS Shield Advanced an. Ein Abonnement beinhaltet einen Kostenschutz gegen DDoS-Angriffe, der Ihnen einen drastischen Anstieg Ihrer monatlichen Rechnung ersparen kann, wenn Sie Opfer eines Angriffs werden. AWS Shield Advanced kann Ihre Zugriffskontrolllisten (ACLs) auch am Rande des AWS-Netzwerks implementieren und Sie so vor den schwerwiegendsten Angriffen schützen.
Fortgeschrittene Abonnenten profitieren außerdem von einem 24-Stunden-DRT (DDoS Response Team) sowie detaillierten Metriken aller Angriffe auf ihre Instanzen. Der von AWS Shield Advanced angebotene Geist ist jedoch teuer. Sie sollten bereit sein, ein Abonnement für mindestens ein Jahr zu einem Preis von 3,000 $ (2,200 £) pro Monat abzuschließen. Dies gilt zusätzlich zu den Kosten für die Nutzung der Datenübertragung, die Sie auf einer „Pay-as-you-go“-Basis übernehmen können.
4. MicrosoftAzure
Hervorragender Basisschutz mit erschwinglichem Zahlungsniveau.
Der Standardschutz ist äußerst einfach einzurichten
Automatisierte Bedrohungsabwehr
DDoS-Schutz für alle Ressourcen.
Wie Amazon bietet Microsoft über seinen Azure-Dienst die Möglichkeit, Serviceflächen zu mieten. Alle Mitglieder profitieren von einem Basisschutz vor DDoS-Angriffen. Zu den Funktionen gehören immer die Überwachung des Datenverkehrs und die Abwehr von Netzwerkangriffen (Schicht 3) in Echtzeit für alle von Ihnen verwendeten öffentlichen IP-Adressen. Dies ist die gleiche Art von Schutz, mit der Microsoft-Onlinedienste und alle Azure-Netzwerkressourcen zur Abwehr von DDoS-Angriffen genutzt werden können.
Für Unternehmen, die einen anspruchsvolleren Schutz benötigen, bietet Azure auch die Stufe „Standard“ an. Es wird weithin dafür gelobt, dass die Aktivierung sehr einfach ist und nur wenige Mausklicks erfordert. Am wichtigsten ist, dass Sie bei Azure keine Änderungen an Ihren Anwendungen vornehmen müssen, obwohl die Standardstufe über die Webanwendungs-Firewall des Anwendungs-Gateways Schutz vor DDoS-Angriffen durch Anwendungen (Schicht 7) bietet. Azure Monitor kann Ihnen Echtzeitstatistiken anzeigen, wenn ein Angriff stattfindet. Diese werden 30 Tage lang aufbewahrt und können bei Bedarf zur weiteren Untersuchung exportiert werden.
Azure überprüft ständig den Webverkehr auf Ihren Ressourcen. Wenn diese einen vordefinierten Schwellenwert überschreiten, startet automatisch die DDoS-Abwehr. Dazu gehört die Überprüfung von Paketen, um sicherzustellen, dass sie nicht falsch trainiert oder gefälscht sind, sowie die Verwendung von Flussbegrenzungen.
Der Standardschutz beträgt derzeit 2,944 US-Dollar (2,204 £) pro Monat, zuzüglich Datengebühren für bis zu 100 Ressourcen. Der Schutz gilt auch für alle Ressourcen. Mit anderen Worten: Sie können die Abwehrmaßnahmen für DDoS-Angriffe nicht individuell anpassen.
5. Verisign DDoS-Schutz
Der beste Schutz vor DDoS-Angriffen von Sicherheitsveteranen.
Einfache Installation über DNS
Geldwäschezentren, die sich dem Schutz vor Angriffen widmen.
Kann vor Ort eingesetzt werden
Es braucht Zeit, die Schnittstelle zu beherrschen
Update: Verisign-Sicherheitsdienste werden übertragen NeustarDie in diesem Testbericht erwähnten Funktionen und Funktionen sind jedoch relativ gleich geblieben.
Verisign ist fast so alt wie das Internet selbst. Seit 1995 hat es sich von einer einzigen Zertifizierungsstelle zu einem wichtigen Akteur in der Netzwerkdienstleistungsbranche entwickelt.
Der DDoS-Schutz von Verisign funktioniert in der Cloud. Benutzer können Anmeldeversuche umleiten, indem sie einfach die DNS-Einstellungen (Domain Name Server) ändern. Der Datenverkehr wird zur Überprüfung an Verisign gesendet, um Netzwerkangriffe zu verhindern. Verisign analysiert sorgfältig den gesamten Datenverkehr, bevor er umgeleitet wird.
Da Verisign zwei der 13 globalen Route-Nameserver betreibt, ist es nicht verwunderlich, dass die Organisation auch mehrere dedizierte DDoS-„Cleanup-Center“ betreibt. Diese analysieren den Datenverkehr und filtern fehlerhafte Verbindungsanfragen heraus. Die kombinierte Infrastruktur erreicht fast 2 TB/s und kann die schädlichsten DDoS-Angriffe blockieren.
Dies wird größtenteils durch Athena, die Bedrohungsminderungsplattform von Verisign, erreicht. Athene ist weitgehend in drei Elemente unterteilt. Der „Schutzschild“ filtert Netzwerk- (Layer 3) und Transportangriffe (Layer 4) durch DPI (Deep Packet Inspection), Blacklisting und Whitelisting sowie Site-Reputation-Management. Der Athena-„Proxy“ überprüft HTTP-Header bei ersten Anmeldeversuchen auf fehlerhaften Datenverkehr. Der „Proxy“ und das „Shield“ werden vom „Load Balancer“ von Athena unterstützt, der dabei hilft, Angriffe auf Anwendungen (Schicht 7) zu verhindern.
Das Kundenportal zeigt detaillierte Verkehrsberichte an und ermöglicht Ihnen die Konfiguration Ihres Bedrohungsmanagements, beispielsweise durch die Erstellung von Verbindungs-Blacklists. Verisign bietet auch OpenHybrid für Benutzer an, die nicht alles in der Cloud implementieren möchten, und kann vor Ort installiert werden.
Bildquelle: Wikimedia Commons (Antoine Lamielle)