DDoS-Attacken sind ein latentes Problem für die Internet-Gemeinde. Mit Hilfe von DDoS lassen sich einzelne Server aber auch ganze Netzwerke lahmlegen. Betroffen von solchen Angriffen ist jedoch nicht der heimische PC, sondern Rechner die als Server in einem Rechenzentrum fungieren und dauerhaft mit dem Internet verbunden sind. Ein beliebtes Angriffsziel sind Web-Server, aber auch andere wichtige Server-Dienste wie beispielsweise Mail- oder DNS-Server sind ein beliebtes Ziel.
Um geeignete Schutzmaßnahmen zu verstehen, ist es erst einmal wichtig, den Hintergrund einer DDoS-Attacke zu verstehen. Ein Distributed Denial of Service Attack ist eigentlich ganz einfach: Datenanfragen werden mit sehr hoher Geschwindigkeit an einen Rechner gesendet. Aufgrund der Häufigkeit der Anfragen wird das angegriffene System überlastet und bricht zusammen. DDoS-Attacken erfolgen aber nur sehr selten von einzelnen Rechnern, sondern kommen aus einem Bot-Netzwerk. Das heißt: Ein oder mehrere Master Computer initiieren und steuern einen Angriff und zum Teil Millionen von Clients führen den Angriff praktisch durch. Die Client-Systeme sind von Malware infizierte PCs, deren Besitzer nichts von all dem wissen.
Angesichts dieser Bedrohung ist auch die Anforderung an den DDoS Schutz sehr hoch.
Ein effektiver DDoS Schutz gliedert sich in mehrere Schritte:
1. Schutz des Servers
Auf einem Server-System werden nur die Dienste und Ports aktiviert, die auch tatsächlich gebraucht werden. Je weniger Ports zur Verfügung stehen, desto kleiner wird auch die Angriffsfläche. Bei UNIX-Systemen trägt eine Personalisierung von Diensten und Ports zudem erheblich zum Schutz bei.
2. Einsatz von Firewalls
Firewalls sind das Herzstück zum Schutz vor Angriffen. In der komplexen Methodik von DDoS-Angriffen ist es mit einer Firewall allein leider nicht getan. Selbstverständlich gehört als letztes Glied in der Sicherheitskette eine Firewall auf jedes Server-System, aber eine solche Firewall bildet nur das letzte Glied in der Kette und zudem das schwächste. Als effizient haben sich in Netzwerken von Rechenzentren Firewalls erwiesen, die interne Netze des Datacenter schützen und sogenannte “vorgelagerte” Firewalls, die den Backbone schützen. Moderne Firewalls können nicht nur effektiv schützen, sondern können auch ein Monitoring des Traffics durchführen und diese Daten an Analysesysteme weiterleiten.
3. Analyse und Verifizierungung der Daten
Analyse-Computer werten von Firewalls die Daten aus und ermitteln den Bedrohungsfaktor. Jeder noch so durchdachte DDoS-Attack zeichnet sich durch gleiche Muster in den übermittelten Datenpaketen auf sein Zielsystem aus. Es gilt derartige Muster so schnell wie möglich zu erkennen und zu verifizieren. Wird ein Angriff erkannt, müssen die Firewalls so schnell wie möglich diese Angriffe und deren Urheber blockieren. Eine weitere Maßnahme ist die Umleitung de Angriffs in ein anderes Netzwerk, worin dieser ins leere läuft. In heutiger Zeit geschieht dieser Vorgang bei hochwertigen Systemen vollkommen automatisch.
Trotzdem bleibt das Risiko
Trotz ausgeklügelter Techniken zur Abwehr von DDoS-Angriffen: Die Initiatoren von solchen Angriffen schlafen ebenfalls nicht und entwickeln ständig neue Verfahren und Methoden für ihre Angriffe.