Schutz- und Abschwächungstechniken mithilfe verwaltetem Distributed-Denial-of-Service-Schutzservice (DDoS), verwalteter Web Access Firewall (WAF) und verwaltetem Content Delivery Network (CDN)

Testen Sie DDoS-Schutz
bnr_security_380x186

Ein Denial-of-Service-Angriff (DoS) ist ein bösartiger Versuch, die Verfügbarkeit eines bestimmten Systems, wie z. B. einer Website oder Anwendung, für legitime Endbenutzer zu beeinträchtigen. In der Regel generieren Angreifer in großem Umfang Pakete oder Anforderungen, die das Zielsystem letztendlich überlasten. Im Falle von Distributed-Denial-of-Service-Angriffen (DDoS) setzt der Angreifer mehrere gehackte oder gesteuerte Quellen ein, um den Angriff zu generieren.

Im Allgemeinen können DDoS-Angriffe nach dem Layer des Open Systems Interconnection-Modells (OSI) unterschieden werden, den sie angreifen. Am häufigsten sind Netzwerk-Layer (Layer 3), Transport-Layer (Layer 4), Darstellungs-Layer (Layer 6) und Anwendungs-Layer (Layer 7) betroffen.


# Layer Antrag Beschreibung Vektorbeispiel
7 Antrag Daten Netzwerkprozess zu Anwendung HTTP-Floods, DNS-Abfrage-Floods
6 Präsentation Daten Darstellung und Verschlüsselung von Daten SSL-Missbrauch
5 Sitzung Daten Interhost-Kommunikation
4 Transport Segmente End-to-End-Verbindungen und Zuverlässigkeit SYN-Floods
3 Netzwerk Pakete Pfadbestimmung und logische Adressierung UDP-Reflexionsangriffe
2 Datenlinks Frames Physische Adressierung
1 Physisch Bits Medien, Signale und binäre Übertragung

Bei der Konzeption von Abschwächungstechniken gegen diese Angriffe sollten sie als Angriffe gegen Infrastruktur-Layer (Layer 3 und 4) und Anwendungs-Layer (Layer 6 und 7) gruppiert werden.

Angriffe auf Infrastruktur-Layer

Angriffe auf Layer 3 und 4 werden in der Regel als Angriffe auf Infrastruktur-Layer kategorisiert. Dies sind auch die häufigsten Arten von DDoS-Angriffen und beinhalten Vektoren wie synchronisierte Floods und andere Reflexionsangriffe wie User Datagram Packet-Floods (UDP). Diese Angriffe sind in der Regel sehr umfangreich und zielen auf die Überlastung der Kapazität des Netzwerks oder der Anwendungsserver ab. Aber glücklicherweise hat diese Art von Angriffen auch klare Signaturen und ist einfacher zu erkennen.

Angriffe auf Anwendungs-Layer

Angriffe auf Layer 6 und 7 werden oft als Angriffe auf Anwendungs-Layer kategorisiert. Solche Angriffe sind zwar weniger häufig, aber in der Regel raffinierter. Diese Angriffe haben in der Regel im Vergleich zu Angriffen auf Infrastruktur-Layer einen geringen Umfang, zielen jedoch speziell auf bestimmte wertvolle Teile der Anwendung, sodass diese für legitime Benutzer nicht mehr verfügbar sind. Dabei kann es sich z. B. um eine HTTP-Anforderungs-Flood handeln, die auf eine Anmeldeseite oder eine wertvolle Such-API zielt, oder sogar Wordpress XML-RPC-Floods (auch als Wordpress-Pingback-Angriffe bekannt).

Reduzieren der Angriffsfläche

Eine der ersten Techniken, um DDoS-Angriffe abzuschwächen, ist die Minimierung der Angriffsfläche und damit die Begrenzung der Optionen für Angreifer. Außerdem können Sie dann zentralen Schutz einrichten. Wir möchten sicherstellen, dass wir unsere Anwendungen oder Ressourcen nicht für Ports, Protokolle oder Anwendungen verfügbar machen, mit denen keine Kommunikation zu erwarten ist. Daher sollten die möglichen Angriffspunkte minimiert werden, sodass wir uns auf Abschwächungsmaßnahmen konzentrieren können. In einigen Fällen können Sie hierzu Ihre Rechenressourcen hinter den Content Distribution Networks (CDNs) oder Load Balancers platzieren und den direkten Internet-Datenverkehr auf bestimmte Teile Ihrer Infrastruktur wie Ihre Datenbank-Server einschränken. In anderen Fällen können Sie mithilfe von Firewalls oder Zugriffssteuerungslisten (Access Control Lists, ACLs) steuern, welcher Datenverkehr Ihre Anwendungen erreicht.

Plan für die Skalierung

Die zwei wichtigsten Überlegungen zur Abschwächung von DDoS-Angriffen in großem Umfang betreffen die Bandbreitenkapazität (oder Durchgangskapazität) und Serverkapazität, um Angriffe aufzufangen und abzuschwächen.

Durchgangskapazität. Stellen Sie beim Entwurf Ihrer Anwendungen sicher, dass Ihr Hostinganbieter ausreichend redundante Internet-Konnektivität bereitstellt, die Ihnen erlaubt, große Datenverkehrsvolumen abzuwickeln. Da DDoS-Angriffe das ultimative Ziel verfolgen, die Verfügbarkeit Ihrer Ressourcen und Anwendungen zu beeinträchtigen, sollten Sie sie lokalisieren, nicht nur in der Nähe Ihrer Endbenutzer, sondern auch bei großen Internet-Knoten, die Ihren Benutzern auch bei großem Datenverkehrsaufkommen einfachen Zugriff auf Ihre Anwendung ermöglichen. Bei Web-Anwendungen ist außerdem der Einsatz von Content Distribution Networks (CDNs) und intelligenten DNS-Auflösungs-Services möglich, die einen zusätzlichen Layer der Netzwerkinfrastruktur für die Bereitstellung von Inhalten und Auflösung von DNS-Abfragen von Standorten, die sich häufig näher bei Ihren Endbenutzern befinden, bereitstellen.

Server-Kapazität. Die meisten DDoS-Angriffe sind Angriffe von großem Umfang, die eine Menge Ressourcen verbrauchen. Es ist daher wichtig, dass Sie Ihre Rechenressourcen schnell nach oben oder unten skalieren können. Hierzu können Sie entweder größere Rechenressourcen nutzen oder solche mit Funktionen wie erweiterten Netzwerkschnittstellen oder erweitertem Networking, die größere Volumen unterstützen. Außerdem werden üblicherweise auch Load Balancer zur kontinuierlichen Überwachung und Verschiebung von Arbeitslasten zwischen Ressourcen verwendet, um die Überlastung einzelner Ressourcen zu verhindern.

Lernen Sie, zwischen normalem und anormalem Datenverkehr zu unterscheiden

Immer dann, wenn wir an einem Host erhöhten Datenverkehr erkennen, gilt als oberster Grundatz, in der Lage sein zu müssen, den Datenverkehr so zu begrenzen, dass unser Host ihn ohne Einschränkung der Verfügbarkeit verarbeiten kann. Dieses Konzept wird als Ratenbegrenzung bezeichnet. Weitergehende intelligente Schutztechniken analysieren die einzelnen Pakete selbst und akzeptieren nur legitimen Datenverkehr. Hierzu müssen Sie die Merkmale legitimen Datenverkehrs kennen, der üblicherweise am Ziel eingeht, und in der Lage sein, jedes Paket mit diesem Maßstab zu vergleichen.

Bereitstellen von Firewalls für anspruchsvolle Angriffe auf Anwendungen

Ein bewährtes Verfahren ist die Verwendung einer Web Application Firewall (WAF) gegen Angriffe wie Einschleusung von SQL-Befehlen oder websiteübergreifende Anforderungsfälschung, die versuchen, eine Schwachstelle in Ihrer Anwendung selbst auszunutzen. Außerdem sollten Sie wg. der eindeutigen Art dieser Angriffe in der Lage sein, mühelos benutzerdefinierte Abschwächungsmaßnahmen zu erstellen gegen unrechtmäßige Anforderungen, die sich z. B. als legitimer Datenverkehr tarnen oder von fragwürdingen IP-Adressen, aus unerwarteten Regionen usw. eingehen könnten. Manchmal kann es auch hilfreich sein, Angriffe in Echtzeit abzuschwächen, um qualifizierten Support zum Erforschen von Datenverkehrsmustern und Erstellen benutzerdefinierten Schutzes zu erhalten.

Registrieren

Ihr Konto befindet sich in der kostenlosen AWS-Stufe. Hier können Sie kostenlose praktische Erfahrungen mit der AWS-Plattform, den Produkten und Services sammeln.

Lernen

Experimentieren Sie und erfahren Sie mehr über DDoS-Schutz in AWS mit Schritt-für-Schritt-Tutorials.

Entwicklung

Alle AWS-Kunden profitieren ohne zusätzliche Kosten vom automatischen Schutz durch AWS Shield Standard.

Testen von AWS Shield