DDoS-Mitigation

DDoS-Mitigation oder DDoS-Abwehr sind technische Maßnahmen zum Schutz vor den Auswirkungen eines verteilten Dienstverweigerungsangriffs (englisch distributed denial of service attack: DDoS-Angriff) auf ein mit dem Internet verbundenes Rechnernetz.

Wirkungsweise

DDoS-Mitigation funktioniert, indem zunächst eine Grundlinie des normalen Netzwerkverkehrs ermittelt wird. Signifikante Abweichungen vom erwarteten Verkehrsmuster lösen ab einem Schwellwert einen Alarm aus.^[1] Eine weitere Methode ist die Unterscheidung von Netzwerkverkehr, der durch Menschen oder durch Bots und gekaperte Webbrowser verursacht wird. Letzteres funktioniert durch den Vergleich von verschiedenen Merkmalen des Verkehrs, beispielsweise IP-Adressen, HTTP-Cookies, HTTP-Headern und Browser-Fingerabdrücken.

Nachdem ein DDoS-Angriff erkannt wurde, ist der nächste Schritt die Filterung des unerwünschten Verkehrs. Dies kann durch Techniken wie Stateful Packet Inspection, Deep Packet Inspection, Reputation, sowie Negativ- und Positivlisten von IP-Adressen erfolgen. Anstatt einer Blockierung kann auch eine Durchsatzratenbegrenzung zum Einsatz kommen.^[2]^[3] Diese Art der Filterung („Scrubbing“) kann durch Spezialsysteme erfolgen, durch die der Verkehr nur im Fall eines erkannten DDoS-Angriffs geleitet wird.^[1]

DDoS-Schutzsysteme können sich an verschiedenen Stellen befinden, beispielsweise beim Internetdienstanbieter oder bei einem cloud-basierten Mitigationsdienstleister. Auch der Einsatz von On-Premises-Systemen im eigenen Netz ist möglich, was jedoch nicht die Internetanbindung vor einer Überlastung schützt.^[4] Auch eine Kombination von verschiedenen Lösungen an unterschiedlichen Stellen ist möglich.^[5]

DDoS-Mitigation findet üblicherweise automatisch statt. Die manuelle Umsetzung von Filtermaßnahmen wird aufgrund des damit verbundenen Aufwands und der erreichbaren Effektivität nicht empfohlen.^[6]

Angriffsmethoden

DDoS-Attacken sind eine konstante Gefahr auf Geschäfte und Organisationen, da sie die Leistungen von Diensten verzögern, oder eine Website komplett abschalten.^[7] Sie werden gegen Internetseiten und Netzwerken von ausgewählten Opfern ausgeführt. Eine Reihe von Anbietern bieten „DDoS-resistente“ Hosting-Dienste an, die meist auf ähnlichen Techniken wie Content-Delivery-Netzwerken basieren. Die Verteilung vermeidet einen einzigen Staupunkt und verhindert, dass sich der DDoS-Angriff auf ein einzelnes Ziel konzentriert.

Eine Technik von DDoS-Angriffen ist, falsch konfigurierte Drittanbieter-Netzwerke mit Hilfe von Verstärkung^[8] von gefälschten UDP-Paketen zu attackieren. Die ordnungsgemäße Konfiguration der Netzwerkausrüstung, die Eingangs- und Ausgangsfilterung ermöglicht, wie in BCP 38^[9] und RFC 6959^[10] dokumentiert, verhindert Verstärkung und Spoofing und reduziert so die Anzahl der für Angreifer verfügbaren Relay-Netzwerke.

Mitigationssmethoden

Verwenden des Client-Puzzle-Protokolls oder des Guided-Tour-Puzzle-Protokolls
Nutzung des Content Delivery Network
Blacklisting von IP-Adressen
Verwenden eines Intrusion-Erkennungs-Systems und Firewall

Einzelnachweise

1 2 Pierluigi Paganini: Choosing a DDoS mitigation solution…the cloud based approach In: Cyber Defense Magazine, 10. Juni 2013. Abgerufen im 25. März 2024 (englisch).
↑ Duncan Geere: How deep packet inspection works In: Wired.com, 27. April 2012. Abgerufen im 25. März 2024 (englisch).
↑ Dan Patterson: Deep packet inspection: The smart person’s guide In: Techrepublic.com, 9. März 2017. Abgerufen im 25. März 2024 (englisch).
↑ Sean Leach: Four ways to defend against DDoS attacks (Memento des Originals vom 12. Juni 2018 im Internet Archive) In: Networkworld.com, 17. September 2013. Abgerufen im 25. März 2024 (englisch).
↑ Robin Schmitt: Choosing the right DDoS solution (Memento des Originals vom 12. Juni 2018 im Internet Archive) In: Enterpriseinnovation.net, 2. September 2017. Abgerufen im 24. März 2024 (englisch).
↑ Francis Tan: DDoS attacks: Prevention and Mitigation In: The Next Web, 2. Mai 2011. Abgerufen im 25. März 2024 (englisch).
↑ Marc Gaffan: The 5 Essentials of DDoS Mitigation In: Wired.com, 20. Dezember 2012. Abgerufen im 25. März 2014 (englisch).
↑ Christian Rossow: Amplification DDoS. In: christian-rossow.de. Abgerufen im 1. Januar 1
↑ Daniel Senie, Paul Ferguson: Network Ingress Filtering: IP Source Address Spoofing. IETF, 2000, abgerufen am 25. Mai 2024 (englisch).
↑ Danny R. McPherson, Fred Baker, Joel M. Halpern: RFC: 6959 – Source Address Validation Improvement (SAVI) Threat Scope. 2013 (englisch).

[:0-1] 1 2 Pierluigi Paganini: Choosing a DDoS mitigation solution…the cloud based approach In: Cyber Defense Magazine, 10. Juni 2013. Abgerufen im 25. März 2024 (englisch).

[2] Duncan Geere: How deep packet inspection works In: Wired.com, 27. April 2012. Abgerufen im 25. März 2024 (englisch).

[3] Dan Patterson: Deep packet inspection: The smart person’s guide In: Techrepublic.com, 9. März 2017. Abgerufen im 25. März 2024 (englisch).

[4] Sean Leach: Four ways to defend against DDoS attacks (Memento des Originals vom 12. Juni 2018 im Internet Archive) In: Networkworld.com, 17. September 2013. Abgerufen im 25. März 2024 (englisch).

[5] Robin Schmitt: Choosing the right DDoS solution (Memento des Originals vom 12. Juni 2018 im Internet Archive) In: Enterpriseinnovation.net, 2. September 2017. Abgerufen im 24. März 2024 (englisch).

[6] Francis Tan: DDoS attacks: Prevention and Mitigation In: The Next Web, 2. Mai 2011. Abgerufen im 25. März 2024 (englisch).

[7] Marc Gaffan: The 5 Essentials of DDoS Mitigation In: Wired.com, 20. Dezember 2012. Abgerufen im 25. März 2014 (englisch).

[8] Christian Rossow: Amplification DDoS. In: christian-rossow.de. Abgerufen im 1. Januar 1

[9] Daniel Senie, Paul Ferguson: Network Ingress Filtering: IP Source Address Spoofing. IETF, 2000, abgerufen am 25. Mai 2024 (englisch).

[10] Danny R. McPherson, Fred Baker, Joel M. Halpern: RFC: 6959 – Source Address Validation Improvement (SAVI) Threat Scope. 2013 (englisch).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]