Im Oktober 2016 wurde der DNS-Anbieter Dyn von einem großen Distributed Denial of Service (DDoS)-Angriff durch eine Armee von IoT-Geräten getroffen, die speziell für diesen Zweck gehackt wurden. Mehr als 14,000 Domains, die die Dienste von Dyn nutzen, sind überlastet und nicht mehr zugänglich, darunter große Namen wie Amazon, HBO und PayPal. Laut einer Cloudflare-Studie belaufen sich die durchschnittlichen Kosten eines Infrastrukturausfalls für Unternehmen auf 100,000 US-Dollar (75,000 US-Dollar) pro Stunde. Wie können Sie sicherstellen, dass Ihr Unternehmen nicht Opfer dieser Art von Angriffen wird? In diesem Leitfaden erfahren Sie mehr über die führenden Infrastrukturanbieter, die über die digitale Macht verfügen, sich vor Angriffen zu schützen, die darauf abzielen, Ihre Netzwerkkapazität zu überfluten. Außerdem erfahren Sie, welche Anbieter Schutz vor komplexeren (Layer 7) Anwendungsangriffen bieten können, was ohne eine große Anzahl gehackter Computer (manchmal auch Botnetz genannt) möglich ist.
![Escudo del proyecto]()
Projektschild
1. Schild des Projekts
Leistungsstarker DDoS-Schutz von Google, aber nicht allen Gästen. Nutzen Sie die Infrastruktur von Google. Sehr einfache Einrichtung. Nur für bestimmte Websites verfügbar. Project Shield ist die Idee von Jigsaw, einer Tochtergesellschaft von Googles Muttergesellschaft Alphabet. Die Entwicklung begann vor einigen Jahren unter George Conard nach Angriffen auf Wahlbeobachtungs- und verwandte Menschenrechtswebsites in der Ukraine. Project Shield ist in der Lage, potenziellen böswilligen Datenverkehr zu filtern, indem es als Reverse-Proxy zwischen einer Website und dem Internet im Allgemeinen fungiert und Verbindungsanfragen filtert. Wenn eine Verbindung scheinbar von einem legitimen Besucher stammt, lässt Project Shield die Verbindungsanfrage zu. Wenn festgestellt wird, dass eine Verbindungsanfrage nicht erfolgreich ist, beispielsweise bei mehreren Verbindungsversuchen von derselben IP-Adresse, wird sie blockiert. Mit diesem System lässt sich Project Shield äußerst einfach implementieren, indem Sie einfach die DNS-Einstellungen Ihrer Server ändern. Jeder erfahrene Benutzer, der dies liest, fragt sich vielleicht, wie das Filtern des Datenverkehrs über einen Proxy mit SSL funktionieren wird. Glücklicherweise hat Jigsaw daran gedacht und ein umfassendes Tutorial zusammengestellt, um sicherzustellen, dass sichere Verbindungen zu Ihrer Website reibungslos funktionieren. Im Support-Bereich sind auch verschiedene weitere Tutorials verfügbar. Project Shield ist derzeit nur für spezielle Medien-, Wahlbeobachtungs- und Menschenrechts-Websites verfügbar. Ein Schwerpunkt liegt auch auf kleinen und unterfinanzierten Websites, die sich keine teuren Hosting-Lösungen zum Schutz vor DDoS-Angriffen leisten können. Wenn Ihr Unternehmen diese Anforderungen nicht erfüllt, müssen Sie möglicherweise eine alternative Lösung wie Cloudflare in Betracht ziehen.
![Flama de nube]()
Wolkenflamme
2. Wolkenflamme
Das Schwergewicht des DDoS-Schutzes Branchenführer bei DoS-Lösungen Kostenloses Kontingent beinhaltet Basisschutz Kommerzielle Pakete sind relativ teuer Jeder, der das Internet in den letzten Jahren genutzt hat, wird Cloudflare kennen, da viele große Websites seinen Schutz nutzen. Obwohl Cloudflare seinen Hauptsitz in den USA hat, betreibt das Unternehmen mehr als 180 Rechenzentren auf der ganzen Welt – eine Infrastruktur, die mit der von Google mithalten kann. Dies maximiert die Chancen, dass Ihre Websites online bleiben. Jeder Cloudflare-Benutzer kann den „Ich werde angegriffen“-Modus aktivieren, der durch eine JavaScript-Herausforderung vor den ausgefeiltesten DoS-Angriffen schützen kann. Cloudflare fungiert in der Regel auch als Reverse-Proxy zwischen Besuchern und dem Host Ihrer Website, um den Datenverkehr auf die gleiche Weise wie Jigsaws Project Shield zu filtern. Im März 2019 veröffentlichte Cloudflare Spectrum für UDP, das DDoS-Schutz und eine Firewall für nicht vertrauenswürdige Protokolle bietet. Besucher, die Verbindungsanfragen stellen, müssen eine Reihe ausgefeilter Filter durchlaufen, einschließlich der Reputation der Website, wenn ihre IP-Adresse auf der schwarzen Liste steht und der HTTP-Header verdächtig aussieht. HTTP-Anfragen werden zum Schutz vor bekannten Botnetzen mit einem Fingerabdruck versehen. Als Branchenriese kann Cloudflare seine Position leicht ausbauen, indem es Informationen auf den mehr als 7 Millionen von ihm verwalteten Websites austauscht. Cloudflare bietet einen kostenlosen Basisplan an, der unbegrenzte DDoS-Abwehr beinhaltet. Für diejenigen, die bereit sind, für ein kommerzielles Cloudflare-Abonnement zu zahlen (die Preise beginnen bei 200 € oder 149 € pro Monat), steht ein erweiterter Schutz zur Verfügung, beispielsweise das Herunterladen benutzerdefinierter SSL-Zertifikate.
![AWS Shield]()
AWS-Schild
3. AWS Shield
Hervorragende Benchmark-DDoS-Abwehr mit mehr. Die kostenlose Standardstufe schützt vor den häufigsten Angriffen. Einfache Installation. Die erweiterte Stufe ist sehr teuer. Der AWS Shield-Schutz wird von den richtigen Leuten bei Amazon Web Services bereitgestellt. Die Stufe „Standard“ steht allen AWS-Kunden ohne zusätzliche Kosten zur Verfügung. Dies ist ideal, da sich viele kleine Unternehmen dafür entscheiden, ihre Websites bei Amazon zu hosten. AWS Shield Standard steht allen Kunden ohne zusätzliche Kosten zur Verfügung. Schützt vor traditionelleren Netzwerk- (Layer 3) und Transportangriffen (Layer 4) bei Verwendung mit Amazon Cloud Front- und Route 53-Diensten. Dies sollte alle bis auf die entschlossensten Hacker abschrecken. Allerdings wird Ihre Bandbreite, beispielsweise 15 Gbit/s, immer durch die Größe Ihrer Amazon-Instanz begrenzt, sodass Hacker einen DoS-Angriff durchführen können, wenn sie über genügend Ressourcen verfügen. Schlimmer noch: Sie sind immer noch dafür verantwortlich, für den zusätzlichen Datenverkehr zu Ihrer Instanz zu zahlen. Um dieses Problem zu entschärfen, bietet Amazon auch AWS Shield Advanced an. Ein Abonnement beinhaltet einen DDoS-Kostenschutz, der Ihnen eine deutliche Erhöhung Ihrer monatlichen Nutzungsrechnung ersparen kann, wenn Sie Opfer eines Angriffs werden. AWS Shield Advanced kann Ihre ACLs (Zugriffskontrolllisten) auch am Rand des AWS-Netzwerks bereitstellen und bietet Ihnen so Schutz vor den größten Angriffen. Fortgeschrittene Abonnenten profitieren außerdem von einem 24-Stunden-DRT (DDoS Response Team) sowie detaillierten Kennzahlen zu Angriffen auf ihre Instanzen. Die Sicherheit, die AWS Shield Advanced bietet, hat jedoch ihren Preis. Sie sollten bereit sein, ein Abonnement für mindestens ein Jahr zu einem Preis von 3,000 € (2,200 €) pro Monat abzuschließen. Dies gilt zusätzlich zu den Kosten für die Nutzung der Datenübertragung, die Sie möglicherweise auf einer „Pay-as-you-go“-Basis übernehmen.
![Microsoft Azure]()
Microsoft Azure
4. MicrosoftAzure
Brillanter Basisschutz zum günstigen Premium-Niveau. Standardschutz ist extrem einfach zu konfigurieren. Automatisierte Bedrohungsabwehr. Globaler DDoS-Schutz für alle Ressourcen. Microsoft bietet wie Amazon über seinen Azure-Dienst die Möglichkeit, Service-Space zu mieten. Alle Mitglieder verfügen über einen grundlegenden DDoS-Schutz. Zu den Funktionen gehören die Überwachung des Datenverkehrs rund um die Uhr und die Abwehr von Netzwerkangriffen in Echtzeit (Layer 3) für alle von Ihnen verwendeten öffentlichen IP-Adressen. Dies ist die gleiche Art von Schutz, die auch für die Onlinedienste von Microsoft gilt, und alle Ressourcen im Azure-Netzwerk können zur Abwehr von DDoS-Angriffen genutzt werden. Für Organisationen, die einen ausgefeilteren Schutz benötigen, bietet Azure auch die Stufe „Standard“ an. Es wird weithin dafür gelobt, dass es sehr einfach zu aktivieren ist und nur wenige Mausklicks erfordert. Es ist wichtig zu beachten, dass Sie bei Azure keine Änderungen an Ihren Anwendungen vornehmen müssen, obwohl die Standardstufe über die Application Gateway-Webanwendungsfirewall Schutz vor DDoS-Angriffen auf Anwendungen (Schicht 7) bietet. Azure Monitor kann Ihnen Echtzeitmetriken anzeigen, wenn ein Angriff stattfindet. Diese werden 30 Tage lang aufbewahrt und können auf Wunsch zur weiteren Untersuchung exportiert werden. Azure überprüft ständig den Webverkehr zu Ihren Ressourcen. Wenn diese einen vordefinierten Schwellenwert überschreiten, startet automatisch die DDoS-Abwehr. Dazu gehört die Überprüfung von Paketen, um sicherzustellen, dass sie nicht fehlerhaft oder gefälscht sind, sowie die Verwendung von Ratenbegrenzung. Der Standardschutz beträgt derzeit 2,944 € (2,204 €) pro Monat zuzüglich Datengebühren für bis zu 100 Ressourcen. Der Schutz gilt auch für alle Ressourcen. Mit anderen Worten: Sie können die DDoS-Abwehr nicht auf einzelne Maßnahmen zuschneiden.
![Protección DDoS de Verisign]()
Verisign DDoS-Schutz
5. Verisign/Neustar DDoS-Schutz
Bester DDoS-Schutz vor Sicherheitsveteranen. Einfach über DNS zu konfigurieren. Dedizierte Bereinigungszentren zum Schutz vor Angriffen. Die vor Ort einsetzbare Schnittstelle braucht Zeit zum Erlernen. Update: Die Sicherheitsdienste von Verisign wechseln zu Neustar, aber die im Test erwähnten Merkmale und Funktionen sind relativ unverändert geblieben Dasselbe. Verisign ist fast so alt wie das Internet selbst. Seit 1995 hat es sich von einer einfachen Zertifizierungsstelle zu einem wichtigen Akteur in der Netzwerkdienstleistungsbranche entwickelt. Der DDoS-Schutz von Verisign funktioniert in der Cloud. Benutzer können Verbindungsversuche durch eine einfache Änderung ihrer DNS-Einstellungen (Domain Name Server) umleiten. Der Datenverkehr wird zur Überprüfung an Verisign gesendet, um Netzwerkangriffe zu verhindern. Verisign analysiert sorgfältig den gesamten Datenverkehr, bevor er umgeleitet wird. Da Verisign zwei der dreizehn Route-Nameserver weltweit betreibt, ist es nicht verwunderlich, dass die Organisation auch mehrere dedizierte DDoS-„Cleanup-Center“ betreibt. Diese analysieren den Datenverkehr und filtern fehlerhafte Verbindungsanfragen. Die kombinierte Infrastruktur läuft mit fast 2 TB/s und kann selbst die verheerendsten DDoS-Angriffe blockieren. Dies wird größtenteils durch Athena, die Bedrohungsminderungsplattform von Verisign, erreicht. Athene ist grob in drei Elemente unterteilt. Der „Shield“ filtert Netzwerk- (Schicht 3) und Transportangriffe (Schicht 4) durch DPI (Deep Packet Inspection), Blacklisting und Whitelisting sowie Site-Reputation-Management. Der Athena-„Proxy“ überprüft HTTP-Header bei ersten Verbindungsversuchen auf fehlerhaften Datenverkehr. Sowohl „Proxy“ als auch „Shield“ unterstützen den „Load Balancer“ von Athena, der dabei hilft, Angriffe auf Anwendungen (Schicht 7) zu verhindern. Das Kundenportal zeigt detaillierte Verkehrsberichte an und ermöglicht Ihnen die Konfiguration Ihres Bedrohungsmanagements, beispielsweise durch die Erstellung von Verbindungs-Blacklists. Für Benutzer, die nicht alles in der Cloud implementieren möchten, bietet Verisign auch OpenHybrid an, das vor Ort installiert werden kann. Bildnachweis: Wikimedia Commons (Antoine Lamielle) Zusammenfassung der besten Angebote des Tages