Seit rund 20 Jahren gibt es Lösungen, um sich gegen DDoS Attacken zu schützen. Was hat sich in diesen 20 Jahren verändert? Welche Lösungsansätze versprechen in der heutigen Zeit Schutz vor diesen Attacken und wer sollte sich davor schützen?
Während erste DDoS Attacken technisch relativ einfach gestrickt waren, hat sich auch dieser «Wirtschaftszweig» weiterentwickelt und das Angriffsarsenal ist heute vielfältig. Unterschiedliche Techniken werden verwendet und je nachdem, welche Ziele ein Angreifer verfolgt, werden verschiedene Techniken zeitgleich angewendet. Nicht zuletzt werden DDoS Angriffe auch verwendet um von dem eigentlichen Vorhaben, Malware im Zielnetz zu platzieren, abzulenken.
DDoS Techniken lassen sich ganz grob in Kategorien einteilen (DDoS Spezialisten mögen mir diese Vereinfachung verzeihen):
-
- Netzwerk-Level Attacken
- Applikations-Level Attacken
- Volumenbasierte Attacken / Amplification Attacken
Unterschiede in den Abwehrtechniken
DDoS Schutz ist kein «one size fits all» Base Cap, sondern eher vergleichbar mit einem Velohelm: Selten sehen wir einen Rennradfahrer mit einem Integralhelm, hingegen keinen Downhill Biker mit einer Nussschale. Ähnlich verhält es sich mit dem DDoS Schutz. Abgesehen von DDoS Services, welche ein Provider oder Cloud Provider zur Verfügung stellt, werden in der Praxis unterschiedliche DDoS Architekturen verwendet:
On-Prem Appliance
Die Älteste der Abwehrmethoden wird auch heute noch verwendet. Dedizierte Appliances an den Internet-Eintrittspunkten kontrollieren den ein- und ausgehenden Verkehr Ihrer Internetleitung.
Für Firmen mit Services in eigenen Datacentern oder Latenz-sensitiven Services bietet diese Lösung einen guten «Basisschutz». Stark regulierte Industriezweige, die keine Daten in eine Cloud leiten dürfen, können dennoch von einem DDoS Schutz profitieren.
Die grossen Nachteile einer solchen Lösung liegen hierbei auf der Hand. Services in der Cloud werden nicht geschützt und volumenbasierte Attacken können entweder die Internetleitung oder die DDoS Appliance weiterhin überlasten.
Für Applikationen, die Sie aus der Cloud bereitstellen, können mittlerweile auch DDoS Appliances z.B. in Azure installiert werden, welche teilweise auch mit dem DDoS Schutz Ihres Cloud Providers interagieren.
Cloud-Basierte DDoS Lösung
Bei Cloud basierten Lösungen wird der Verkehr nicht mehr direkt zu Ihrem Internetanschluss geroutet, sondern wird durch Routing Anweisungen oder DNS Einträge durch sogenannte «Scrubbing Centers» eines DDoS Anbieters geleitet, bevor die gesäuberten Daten bei Ihnen On-Prem ankommen.
Bei den Cloud basierten Lösungen kann zwischen «On-Demand» und «Always On» unterschieden werden. Die On-Demand Lösung wird nur im Falle einer Attacke zugeschaltet (DNS Einträge oder Routing Umstellungen). Hierbei gilt es zu beachten, dass zwischen der Erkennung der Attacke und dem Einsetzen des Schutzes ein Zeitfenster liegt, während dem die Services gegebenenfalls nicht erreichbar sind. Die Zeiten für die Erkennung einer Attacke sowie die Zeit, bis die Umschaltung der Services effektiv umgesetzt ist, kumulieren sich hierbei.
Diese Cloud Lösungen bieten zu der On-Prem Lösung den Vorteil, dass sie auch mit volumenbasierten Attacken sehr gut umgehen können und Ihre Internetanbindung auch während eines solchen Angriffs verfügbar bleiben. Grosse Amplification Attacken, welche auch zu zweifelhaftem Ruhm in der Presse gelangt sind, werden durch solche Cloud Lösungen in Scrubbing Centern der DDoS Anbieter mitigiert. Cloud Services werden wie die On-Prem Services geschützt.
Auch diese Lösung bietet neben den Vorteilen auch Nachteile: Verkehr, welcher durch den Cloud Service geroutet wird, wird eine grössere Latenz aufweisen. Es muss sichergestellt werden, dass der Verkehr durch die Cloud des Anbieters geroutet werden kann, organisatorische Datenschutzaspekte müssen berücksichtigt werden.
Kritische Applikationen sollten keinesfalls mittels einem On-Demand Dienst geschützt werden, ebenso wenig Applikationen, die regelmässig oder gar ständig attackiert werden.
Hybrid Lösungen
Die Hybrid Lösung kombiniert eine On-Prem Lösung mit der On-Demand Cloud Lösung. So wehrt in ruhigen Zeiten die On-Prem Appliance alle Attacken ab. Erkennt sie jedoch einen volumenbasierten Angriff, der gefährlich für die Internetanbindung oder die Appliances werden könnte, so wird der Verkehr automatisch in das Scrubbing Center in der Cloud geroutet und die Attacken werden dort wirkungsvoll mitigiert.
Fazit
Schlussendlich sind für eine Entscheidung einige Faktoren ausschlaggebend. Die unterschiedlichen Lösungen unterscheiden sich nicht nur in der Funktionalität, sondern auch im Preis. So schliesst sich der Kreis und wir sind zurück beim Velohelm, welcher darf es denn bitte sein?
Markus Graf
Markus Graf ist Co-CEO und COO der AVANTEC. Als studierter Elektroingenieur und mit über 20 Jahren Berufserfahrung in der IT-Security braucht es einiges bis er die Ruhe verliert. Nicht nur Produkte, sondern die dahinterliegenden Technologien faszinieren ihn. Und treiben ihn jeden Tag aufs Neue an, sich mit Bedrohungen und Chancen in der IT-Security zu beschäftigen.