Bester DDoS-Schutz von 2021

Im Oktober 2016 wurde der DNS-Anbieter Dyn von einem großen DDoS-Angriff (Distributed Denial of Service) durch eine Armee von IoT-Geräten getroffen, die speziell für diesen Zweck gehackt worden waren. Über 14.000 Domains, die die Dienste von Dyn nutzen, wurden überflutet und waren nicht mehr erreichbar, darunter große Namen wie Amazon, HBO und PayPal.

Nach einer Untersuchung von Cloudflare belaufen sich die durchschnittlichen Kosten eines Infrastrukturausfalls für Unternehmen auf 100.000 Dollar (75.000 Pfund) pro Stunde. Wie können Sie also sicherstellen, dass Ihr Unternehmen nicht Opfer eines solchen Angriffs wird? In diesem Leitfaden erfahren Sie, welche großen Infrastrukturanbieter über die notwendigen digitalen Mittel verfügen, um sich gegen Angriffe zu schützen, die darauf abzielen, Ihre Netzkapazität zu überlasten.

Sie erfahren auch, welche Anbieter Schutz vor anspruchsvolleren Anwendungsangriffen (Schicht 7) bieten, die ohne eine große Anzahl gehackter Computer (manchmal auch als Botnet bezeichnet) durchgeführt werden können.

• Wir haben auch die besten Webhosting-Dienste herausgestellt.

Project Shield ist eine Schöpfung von Jigsaw, einem Ableger von Googles Muttergesellschaft Alphabet. Die Entwicklung begann vor einigen Jahren unter der Leitung von George Conard als Folge von Angriffen auf Websites zur Wahlbeobachtung und zum Thema Menschenrechte in der Ukraine.

Project Shield ist in der Lage, potenziell bösartigen Datenverkehr zu filtern, indem es als Reverse Proxy zwischen einer Website und dem Internet im Allgemeinen fungiert und Verbindungsanfragen filtert. Wenn eine Verbindung von einem legitimen Besucher zu stammen scheint, lässt Project Shield die Verbindungsanfrage zu. Wird eine Verbindungsanfrage als schädlich eingestuft, z. B. bei mehreren Verbindungsversuchen von der gleichen IP-Adresse, wird sie blockiert. Dieses System macht Project Shield extrem einfach zu implementieren, indem Sie einfach die DNS-Einstellungen Ihres Servers ändern.

Alle Power-User werden sich fragen, wie die Filterung des Datenverkehrs über einen Proxy mit SSL funktionieren wird. Glücklicherweise hat Jigsaw an diese Frage gedacht und ein umfassendes Tutorial zusammengestellt, um sicherzustellen, dass sichere Verbindungen zu Ihrer Website reibungslos funktionieren. Mehrere andere Anleitungen sind auch im Support-Bereich verfügbar.

Zurzeit ist Project Shield nur für Medien, Wahlbeobachtung und menschenrechtsbezogene Websites verfügbar. Das Hauptaugenmerk liegt auch auf kleinen, unterdotierten Websites, die sich keine teuren Hosting-Lösungen zum Schutz vor DDoS leisten können. Wenn Ihre Organisation diese Anforderungen nicht erfüllt, müssen Sie möglicherweise eine alternative Lösung wie Cloudflare in Betracht ziehen.

• Sie können sich hier für Project Shield anmelden

Jeder, der in den letzten Jahren das Internet genutzt hat, wird mit Cloudflare vertraut sein, da viele große Websites den Schutz des Unternehmens nutzen. Obwohl Cloudflare seinen Sitz in den USA hat, unterhält es über 180 Rechenzentren auf der ganzen Welt: eine Infrastruktur, die mit der von Google konkurriert. Dies maximiert die Chancen Ihrer Website, online zu bleiben.

Jeder Cloudflare-Benutzer kann den „Ich werde angegriffen“-Modus aktivieren, der selbst vor den raffiniertesten DoS-Angriffen schützen kann, indem er eine Javascript-Herausforderung präsentiert. Routinemäßig fungiert Cloudflare auch als Reverse-Proxy, der zwischen Besuchern und dem Host der Website sitzt und den Datenverkehr ähnlich wie Jigsaws Project Shield filtert. Im März 2019 führte Cloudflare Spectrum für UDP ein, das DDoS-Schutz und Firewalling für unzuverlässige Protokolle bietet.

Besucher, die Verbindungsanfragen stellen, müssen einen Spießrutenlauf durch ausgeklügelte Filter durchlaufen, einschließlich der Reputation der Website, ob ihre IP auf einer schwarzen Liste steht und ob der HTTP-Header verdächtig erscheint. HTTP-Anfragen werden mit Fingerabdrücken versehen, um vor bekannten Botnets zu schützen. Als Branchenriese kann Cloudflare seine Position leicht ausnutzen, indem es Informationen über die mehr als 7 Millionen von ihm verwalteten Websites austauscht.

Cloudflare bietet ein kostenloses Basispaket an, das eine ungemessene DDoS-Abwehr beinhaltet. Für diejenigen, die bereit sind, für ein Cloudflare-Geschäftsabonnement zu zahlen (die Preise beginnen bei 200 $ oder 149 £ pro Monat), ist ein erweiterter Schutz verfügbar, wie z. B. das Hochladen von benutzerdefinierten SSL-Zertifikaten.

• Sie können sich hier für Cloudflare anmelden

AWS Shield Schutz wird von den guten Leuten von Amazon Web Services bereitgestellt. Die „Standard“-Stufe ist für alle AWS-Kunden ohne Aufpreis verfügbar. Dies ist ideal, da sich viele kleine Unternehmen dafür entscheiden, ihre Websites bei Amazon zu hosten. AWS Shield Standard ist für alle Kunden ohne Aufpreis erhältlich. Es schützt vor typischeren Netzwerk- (Schicht 3) und Transportangriffen (Schicht 4), wenn Amazons Dienste Cloud Front und Route 53 verwendet werden.

Dies sollte alle außer den entschlossensten Hackern abschrecken. Allerdings wird Ihre Bandbreite, z. B. 15 Gbp/s, immer noch durch die Größe Ihrer Amazon-Instanz begrenzt, so dass es für Hacker möglich ist, einen DoS-Angriff durchzuführen, wenn sie über ausreichende Ressourcen verfügen. Noch schlimmer ist, dass Sie für den zusätzlichen Datenverkehr zu Ihrer Instanz bezahlen müssen.

Um dies abzumildern, bietet Amazon auch AWS Shield Advanced an. Das Abonnement beinhaltet einen DDoS-Kostenschutz, der Sie vor einer enormen Erhöhung Ihrer monatlichen Nutzungsrechnung bewahren kann, wenn Sie Opfer eines Angriffs werden. AWS Shield Advanced kann auch Ihre ACLs (Access Control Lists) an der Grenze des AWS-Netzwerks selbst bereitstellen und bietet Ihnen so Schutz vor selbst den größten Angriffen.

Advanced-Abonnenten profitieren außerdem von einem DRT (DDoS Response Team), das rund um die Uhr zur Verfügung steht, sowie von detaillierten Metriken zu allen Angriffen auf Ihre Instanzen. Die Sicherheit, die AWS Shield Advanced bietet, ist jedoch teuer. Sie müssen bereit sein, ein Abonnement für mindestens ein Jahr zu einem Preis von 3.000 $ (2.200 £) pro Monat abzuschließen. Hinzu kommen die Kosten für die Datentransfers, die Sie auf einer „Pay-as-you-go“-Basis abdecken können.

• Sie können sich hier für AWS Shield anmelden

Wie Amazon, Microsoft bietet die Möglichkeit, über seinen Dienst Azure Serviceplatz zu mieten. Alle Mitglieder profitieren von einem grundlegenden DDoS-Schutz. Zu den Funktionen gehören die ständige Überwachung des Datenverkehrs und die Echtzeit-Abwehr von Netzwerkangriffen (Schicht 3) für alle von Ihnen verwendeten öffentlichen IP-Adressen. Dies ist die gleiche Art von Schutz, die auch Microsofts eigenen Online-Diensten gewährt wird, und die gesamten Ressourcen des Azure-Netzwerks können genutzt werden, um DDoS-Angriffe abzufangen.

Für Unternehmen, die einen anspruchsvolleren Schutz benötigen, bietet Azure auch eine „Standard“-Stufe. Diese wird weithin dafür gelobt, dass sie sehr einfach zu aktivieren ist und nur wenige Mausklicks erfordert. Entscheidend ist, dass Sie in Azure keine Änderungen an Ihren Anwendungen vornehmen müssen, obwohl die Standardstufe über die Web-App-Firewall des App-Gateways Schutz vor DDoS-Angriffen auf Anwendungen (Schicht 7) bietet. Azure Monitor kann Ihnen Echtzeit-Metriken anzeigen, wenn ein Angriff stattfindet. Diese werden 30 Tage lang aufbewahrt und können auf Wunsch zur weiteren Untersuchung exportiert werden.

Azure überprüft ständig den Webverkehr zu Ihren Ressourcen. Wenn dieser einen vordefinierten Schwellenwert überschreitet, wird automatisch eine DDoS-Abwehr eingeleitet. Dazu gehört die Überprüfung von Paketen, um sicherzustellen, dass sie nicht missgebildet oder gefälscht sind, sowie die Verwendung von Ratenbegrenzungen.

Der Standardschutz kostet derzeit $2.944 (£2.204) pro Monat plus Datengebühren für bis zu 100 Ressourcen. Der Schutz gilt für alle Ressourcen gleichermaßen. Mit anderen Worten: Sie können die DDoS-Abwehr nicht für einzelne Ressourcen anpassen.

• Sie können sich hier für Microsoft Azure anmelden

Aktualisierung: Die Sicherheitsdienste von Verisign werden auf Neustar übertragen.

Verisign ist fast so alt wie das Internet selbst. Seit 1995 hat sich das Unternehmen von einer einfachen Zertifizierungsstelle zu einem wichtigen Akteur im Bereich der Netzwerkdienste entwickelt.

Der DDoS-Schutz von Verisign arbeitet in der Cloud. Benutzer können Verbindungsversuche durch eine einfache Änderung ihrer DNS-Einstellungen (Domain Name Server) umleiten. Der Datenverkehr wird zur Überprüfung an Verisign gesendet, um Netzwerkangriffe zu verhindern. Verisign analysiert den gesamten Datenverkehr gründlich, bevor er weitergeleitet wird.

Da Verisign zwei der dreizehn globalen Domain Name Server betreibt, ist es nicht verwunderlich, dass die Organisation auch mehrere spezielle DDoS-„Scrubbing Center“ unterhält. Diese analysieren den Datenverkehr und filtern schlechte Verbindungsanfragen heraus. Die kombinierte Infrastruktur erreicht fast 2 TB/s und kann selbst die überwältigendsten DDoS-Angriffe blockieren.

Dies wird größtenteils über Athena, die Plattform von Verisign zur Eindämmung von Bedrohungen, erreicht. Athena ist im Wesentlichen in drei Elemente unterteilt. Das ‚Shield‘ filtert Netzwerk- (Layer 3) und Transportangriffe (Layer 4) über DPI (Deep Packet Inspection), Blacklists & Whitelists und Site Reputation Management. Der Athena-Proxy prüft die HTTP-Header bei den ersten Verbindungsversuchen auf schädlichen Datenverkehr. Proxy“ und „Shield“ werden durch den „Load Balancer“ von Athena unterstützt, der dazu beiträgt, Angriffe auf Anwendungen (Schicht 7) zu verhindern.

Das Kundenportal zeigt detaillierte Berichte über den Datenverkehr an und ermöglicht es Ihnen, Ihr Bedrohungsmanagement zu konfigurieren, zum Beispiel durch die Erstellung von Blacklists für Verbindungen. Für Anwender, die nicht alles in der Cloud bereitstellen wollen, bietet Verisign auch OpenHybrid an, das vor Ort installiert werden kann.

• Sie können sich hier für Verisign DDoS Protection anmelden

Bildnachweis: Wikimedia Commons (Antoine Lamielle)