Hetzner - DokuWiki

DDoS-Schutz

DDoS

Mit einer DDoS-Attacke (Distributed Denial-of-Service) versucht ein Angreifer mit vielen gefälschten Anfragen, die Bandbreite oder die Ressourcen eines Servers zu überlasten, sodass valide Anfragen nur sehr langsam oder gar nicht mehr beantwortet werden können. Dabei werden oftmals massenhaft kompromittierte Rechner eingesetzt (Bot-Netze), um gigantischen Datenverkehr zu erzeugen.

Ein erfolgreicher DDoS-Angriff gefährdet den unterbrechungsfreien Betrieb von Web-Anwendungen, Websites, Servern und IT-Infrastruktur ernsthaft. Zudem kann ein DDoS-Angriff nicht nur das Opfer massiv beeinträchtigen, sondern Kollateralschäden verursachen, wodurch weitere Server für die Dauer des Angriffs außer Betrieb gesetzt werden können.

Die Sicherheitslösung für den DDoS-Schutz

Nach sorgfältiger Prüfung verschiedener Systeme zur Abwehr von DDoS-Angriffen wurde ein System, das hauptsächlich aus Hardware von Arbor und Juniper besteht, implementiert.

Traffic-Verlauf im Regelbetrieb

Ddos.png


Traffic-Verlauf inklusive DDoS-Schutz bei Angriff

Ddos-schutz.png

Dieses besteht im wesentlichen aus drei Ebenen, über welche wir in der Lage sind, angreifenden von validem Traffic zu trennen.

1. Automatische Erkennung von Angriffsmustern

Neben einer Erkennung basierend auf der Trafficmenge und Paketmenge sind wir in der Lage, den eigentlichen Angriff genau einzugrenzen und dadurch präzise auf den verwendeten Angriffstyp einzugehen. Ein UDP-Flood mit 500.000 Paketen pro Sekunde ist für Server unbedenklich. 500.000 SYN Pakete können jedoch ein Problem darstellen. Genau diese Unterscheidung ist möglich.

2. Filtern des Traffics nach bekannten Angriffsmustern

Hierbei werden die häufig verwendeten Angriffe sehr effizient gefiltert, indem sie bereits in einem Filternetzwerk verworfen werden. Dies betrifft vor allem Angriffe wie DNS-Reflection, NTP-Reflection oder UDP Floods auf Port 80.

3. Challenge-Response-Authentifizierung und dynamische Trafficfilterung

An dieser Stelle werden Angriffe wie SYN-Floods, DNS-Floods und Invalid Packets gefiltert. Auch können wir sehr flexibel auf einzelne Angriffe reagieren und diese zuverlässig mitigieren.

Die verwendete Technologie erlaubt ein hohes Maß an Automatisierung, welche Schritt für Schritt weiter optimiert wird. Dies geschieht dadurch, dass alle Angriffe überprüft werden und unsere Filter und Responses kontinuierlich angepasst werden.

Auswirkungen auf den Kunden

Der DDoS-Schutz verursacht keine zusätzlichen Kosten und ist für alle Kunden verfügbar. Die Erkennung von DDoS-Angriffen wurde verbessert und ist dauerhaft aktiv. Sollte eine Attacke erkannt werden, schaltet sich der Schutz innerhalb weniger Sekunden dynamisch ein und filtert den Angriff. Durch die dynamische Vorgehensweise wird Ihr Traffic im Normalfall nicht beeinflusst.



© 2018. Hetzner Online GmbH. Alle Rechte vorbehalten.