Was ist ein DDoS-Angriff und wie bekämpft adeska internet lösungen diesen?


Funktionsweise eines DDoS-Angriffs

DDoS-Angriffe sind mittlerweile an der Tagesordnung und die Wahrscheinlichkeit, zum Ziel eines solchen Angriffes zu werden, ist groß.

Ein DDoS-Angriff zielt darauf ab, die Bandbreite oder die Ressourcen eines Servers derart zu überlasten, dass dieser schlimmstenfalls nicht mehr erreichbar ist.

Hierzu wird eine Vielzahl gleichzeitiger Anfragen von verschiedenen Punkten im Internet an den Server versandt. Dadurch wird der Dienst instabil oder ist unter Umständen gar nicht mehr verfügbar. Siehe auch Wikipedia.

 

Unsere Angebote zum Schutz Ihrer Dienstleistungen

adeska internet lösungen stellt Ihnen eine auf der VAC Technologie basierende Abwehrlösung zur Verfügung, um Ihre Dienste und Server vor Angriffen zu schützen. Diese exklusive Kombination verschiedener Techniken dient folgenden Zwecken:


  • Analysieren aller Pakete mit hoher Geschwindigkeit in Echtzeit.
  • Umleiten des eingehenden Traffics Ihres Servers.
  • Abwehren der Angriffe durch Erkennung aller unerwünschten IP-Pakete. Nur erwünschte IP-Pakete werden durchgelassen.
 

Ziele und Angriffstypen

Es gibt drei unterschiedliche Strategien, die bei DDos-Angriffen verfolgt werden:


  • Bandbreiten-Überlastung: Die Netzwerk-Kapazität wird überlastet mit dem Ziel der Nicht-Erreichbarkeit.
  • Ressourcen-Überlastung: Die System-Ressourcen werden überlastet, um zu verhindern, dass der Server auf erwünschte Anfragen antwortet.
  • Exploit: Nutzung von Software-Sicherheitslücken, mit dem Ziel der Nicht-Erreichbarkeit oder um die Kontrolle über den Server zu erlangen.


Bezeichnung des Angriffs OSI-Schicht Angriffstyp Beschreibung des Angriffsprinzips
ICMP Echo Request Flood 3 Ressourcen Bei diesem auch als „Ping Flood“ bezeichneten Angriff werden Datenpakete in großen Mengen verschickt (Ping), die vom Angriffsziel mit identischen Datenpaketen beantwortet werden (Pong).
IP Packet Fragment Attack 3 Ressourcen Versand von IP-Datenpaketen mit dem Verweis auf weitere Datenpakete, die jedoch nicht gesendet werden. Hierdurch wird der Speicher des Angriffsziels überlastet.
SMURF 3 Bandbreite ICMP Broadcast-Angriff mit gefälschter Quell-Adresse, um die Antworten auf das Angriffsziel umzuleiten.
IGMP Flood 3 Ressourcen Versand großer Mengen an IGMP-Paketen (IGMP = Protokoll für die Multicast-Verwaltung).
Ping of Death 3 Exploit Versand von ICMP-Paketen, die einen Implementierungsfehler in bestimmten Betriebssystemen ausnutzen.
TCP SYN Flood 4 Ressourcen Versand großer Mengen an TCP-Verbindungsanfragen.
TCP Spoofed SYN Flood 4 Ressourcen Versand großer Mengen an TCP-Verbindungsanfragen mit gefälschter Quell-Adresse.
TCP SYN ACK Reflection Flood 4 Bandbreite Versand großer Mengen an TCP-Verbindungsanfragen an eine große Anzahl von Maschinen. Bei diesen Anfragen wird die Quell-Adresse gefälscht und durch die Adresse des Angriffsziels ersetzt. Dieses wird dann durch die eingehenden Antworten überlastet.
TCP ACK Flood 4 Ressourcen Versand großer Mengen an Empfangsbestätigungen für TCP-Pakete.
TCP Fragmented Attack 4 Ressourcen Versand von TCP-Datenpaketen mit dem Verweis auf weitere Datenpakete, die jedoch nicht gesendet werden. Hierdurch wird der Speicher des Angriffsziels überlastet.
UDP Flood 4 Bandbreite Versand großer Mengen an UDP-Paketen, die keinen vorherigen Verbindungsaufbau erfordern.
UDP Fragment Flood 4 Ressourcen Versand von UDP-Datenpaketen mit dem Verweis auf weitere Datenpakete, die jedoch nicht gesendet werden. Hierdurch wird der Speicher des Angriffsziels überlastet.
Distributed DNS Amplification Attack 7 Bandbreite Versand großer Mengen an DNS-Anfragen an eine große Anzahl von DNS-Servern. Bei diesen Anfragen wird die Quell-Adresse gefälscht und durch die Adresse des Angriffsziels ersetzt. Dieses wird dann durch die eingehenden Antworten überlastet, die deutlich umfangreicher sind als die Anfragen selbst.
DNS Flood 7 Ressourcen Angriff auf einen DNS-Server durch den Versand einer großen Anzahl an Anfragen.
HTTP(S) GET/POST Flood 7 Ressourcen Angriff auf einen Webserver durch den Versand einer großen Anzahl an Anfragen.
DNS DDoS 7 Ressourcen Angriff auf einen DNS-Server durch den Versand großer Mengen an Anfragen von einer großen Anzahl von Maschinen, die durch den Angreifer kontrolliert werden.


Abwehr von DDoS-Angriffen: Ablauf



Die 4 Schritte bei der Abwehr eines Angriffs:


1) Der Server ist einsatzbereit - ohne Angriff


Alle Dienste können problemlos über das Internet verwendet werden. Der Traffic läuft über das Backbone unseres Netzwerks zum Rechenzentrum und kann dann vom Server verarbeitet werden. Die Antworten des Servers werden direkt über das Internet versandt.

 

2) Beginn des DDoS-Angriffs


Der Angriff wird im Internet gestartet und erreicht das Backbone. Angesichts der überschüssigen Bandbreiten-Kapazität im Backbone führt der Angriff nicht zur Überlastung von Verbindungs-Links. Der Angriff erreicht den Server, der mit dessen Verarbeitung beginnt. Gleichzeitig erlaubt es die Analyse des Traffics festzustellen, dass ein Angriff im Gange ist, und der automatische Schutz wird ausgelöst.


3) Umleitung des Angriffs


Etwa 15 bis 120 Sekunden nach Beginn des Angriffs wird die Umleitung aktiviert. Der eingehende Traffic des Servers wird auf die 3 VAC-Infrastrukturen umgeleitet. Diese verfügen über eine Gesamtkapazität von 480 Gbit/s (3x 160 Gbit/s) und werden in drei verschiedenen OVH Rechenzentren gehostet. Der Angriff wird unabhängig von dessen Umfang und Typ ohne zeitliche Begrenzung blockiert. Der erwünschte Traffic wird durch die VAC-Infrastruktur geleitet und gelangt danach zu Ihrem Server. Die Antworten des Servers gehen direkt und ohne Umweg über das VAC ins Netz. Dies ist das Prinzip des automatischen Schutzes gegen Angriffe.


4) Ende des Angriffs


Ein solcher Angriff ist teuer und wird vom Angreifer daher schnell eingestellt, wenn er nicht wirksam ist. Zu Ihrer Sicherheit bleibt der DDoS-Schutz nach dem Angriff noch 26 Stunden aktiv. Sollte innerhalb dieser Zeit ein erneuter Angriffsversuch stattfinden, wird dieser automatisch blockiert. Im Falle von Angriffen nach Ablauf von 26 Stunden wird der Schutz erneut aktiviert.

  • 292 Benutzer fanden dies hilfreich
War diese Antwort hilfreich?

Genervt vom permanenten Spam im Posteingang?

Wir haben eine effektive Lösung und können diese nach unserem Selbsttest bedenkenlos empfehlen. Mit allen Anbietern kompatibel (beste Unterstützung mit unserem Öko-Hosting!). Hier klicken: Ich will spamfrei werden!

Related Articles

Was ist ein "Auth-Code" (Authinfo)?

Bei Domainnamen mit bestimmten Endungen (z.B. .de, .info oder .biz) benötigen wir...

Wie geht ein Providerwechsel (Domainumzug) oder Transfer und was kostet er?

Der Providerwechsel bei adeska internet lösungen ist generell kostenlos. Bitte bestellen Sie über...

Was ist ein Provider?

Internetdienstanbieter oder auch Internetdiensteanbieter (engl.: Internet Service...

Was ist ein FTP Account?

FTP steht für „File Transfer Protocol“. Es dient zum Übermitteln von Daten über das...

Was bedeutet WebHosting?

Unter Webhosting, versteht man die Unterbringung (Hosting) von Webseiten auf einem an das...