Schutz vor Ddos

Ddos-Schutz

Das folgende Diagramm zeigt, wie unser DDoS-Filter funktioniert, um Angriffe zu blockieren. Häufigkeit und Intensität von DDoS-Attacken nehmen weiter zu. Keiner ist davor sicher.

Schutz vor DDoS Attacken zu realisieren

Distributed Denial of Service (DDoS)-Angriffe können schwerwiegend sein - vor allem für kleine Firmen, denen die Mittel für den richtigen Umgang mit ihnen nicht ausreichen. Zugleich verschlechtert sich die Lage durch die zunehmende Beliebtheit des Internet der Dinge von heute. Zuerst können Sie den Angriff an Ihrer Netzgrenze abschwächen, indem Sie beispielsweise ein Schutzsystem gegen DDoS-Angriffe an den Verbindungspunkten zu Ihren Anbietern - AS65001 und 65002 in Bild 1 - einrichten.

Ein anderer Weg ist, Ihre Upstream-Anbieter - auch die in Abb. 1 dargestellten Anbieter AS 65001 und 65002 - zu fragen, ob sie Maßnahmen zur Abschwächung des Angriffs einleiten. Da viele Anbieter diese Dienstleistung anbieten, ist sie eine echte Alternative. Sie können auch eine Menge von Kantenverbindungen haben, so kann es ziemlich kostspielig sein, wenn Sie jeden Ihrer Anbieter nach einem solchen Dienst fragen.

Darüber hinaus nimmt der Anbieter nach wie vor Datenverkehr in Kauf, der letztendlich wegfällt - eine Vergeudung von Bandbreiten und Daten. Auf diese Weise wird der Datenverkehr in die Wolke geleitet, der DDoS-Angriff beseitigt und dann an Sie weitergeleitet - in der Regel über einen Kanal. Die Abwehr von DDoS-Angriffen hat jedoch einen Haken: Die Weiterleitung muss entweder ständig eingeschaltet sein, was die Leistung Ihrer Internetdienste nachhaltig beeinträchtigt, oder Sie müssen sich kurz nach dem Start eines DDoS-Angriffs an den Anbieter wenden, um sich dagegen zu wehren.

Der Arbeitskreis DDoS Open Threat Signaling (DOTS) innerhalb der IETF ( "Internet Engineering Task Force") erarbeitet eine Alternative: die automatische Signalisierung einer oder aller der oben erwähnten Reaktionsmöglichkeiten. Das DOTS-Konzept umfasst mehrere Bestandteile, darunter einen Klienten, einen Datenserver und ein Abwehrsystem. Zuerst kontaktiert der Klient per DOTS-Signalisierung einen Bediener, der daraufhin Abschwächer auffordert, den Anschlag zu entschärfen. 2.

Dabei kann ein Endgerät sowohl als Datenserver als auch als Klient agieren. Deshalb kann sich eine Anforderung an einen einzigen Datenserver über das gesamte Overlay-Netzwerk von Mitigation Services verteilen, um den Angriff so nah wie möglich an den Ursachen zu stopp. Im ersten Beispiel ist es vorstellbar, dass die beiden Upstream-Anbieter 65001 und 65002 DDoS-Minderung anbieten.

Wird der DDoS Angriff entdeckt, können Sie mit Hilfe der DOTS-Signalisierung Ihre beiden Upstream-Provider auffordern, das Risiko zu minimieren. Sie können ihrerseits einen Teil des Angriffs vor Ort abwehren, oder sie können lediglich als Klient für einen Cloud-basierten DDoS-Minderungsdienst fungieren, den sie vertragsgemäß bereitstellen. Bei diesen Anbietern können Sie einen Dienst beantragen, der den Datenverkehr nach Bedarf weiterleitet, so dass der DDoS-Angriff abgemildert wird.