DDoS Protection

Bei einer DoS/DDoS Attacke (Distributed-Denial-of-Service) werden vom Angreifer entweder ein Server-System (DoS) oder mehrere weltweit verteilte Systeme (DDoS) infiziert und zum Angriff auf ein Ziel koordiniert. Dies schränkt diverse Backbonebetreiber in ihren freien Ressourcen ein, es kommt zu temporären Störungen oder Ausfällen bei Diensten oder Webseiten, da Server so bewusst überlastet werden.

In Zeiten von IoT (Internet of Things) steigt die Anzahl der DDoS-Attacken stetig an, da nicht nur die Firmware vieler Endgeräte häufig unzureichend geschützt ist und so leicht manipuliert werden kann. Mittlerweile werden verschiedene Formen von DDos-Attacken von Cyber-Kriminellen zum Kauf angeboten. 

Es gibt viele Arten von DDoS-Attacken:

SYN-Flooding oder Smurf-Angriffe gehören zu den häufigsten DDoS-Attacken, vor denen man sich schützen sollte. Dabei wird versucht, das Angriffsziel (Origin) mit extrem vielen Datenpaketen zu "überfluten" und durch hohe Bandbreiten unerreichbar zu machen. Die Angriffe können sowohl von einzelnen Angreifern (DoS) als auch von mehreren, weltweit verteilten Angreifern (DDoS) ausgeführt werden. Die exorbitant hohe Anzahl an Anfragen an die Server belasten und verlangsamen diese extrem. 

Ein Distributed-Reflected-Denial-of-Service-Angriff missbraucht das Domain Name System (DNS) als Reflektor und adressiert Datenpakete nicht direkt an das Opfer, sondern an andere Internetdienste. Das Problem: Die Datenpakete tragen dabei die Absendeadresse des Opfers und der Ursprung des Angriffs ist nicht mehr nachvollziehbar. 

Aber auch durch Backdoor-Programme werden häufig DDoS-Angriffe ausgelöst, wenn kein ausreichender Schutz gewährleistet ist. So können Rechner in einem Netzwerk infiziert werden. 

Dies ist ein externes Rechenzentrum, das sich "in der Nähe" von so genannten "Internet-POPs" (Point of Presence) befindet. Im Scrubbing Center wird der Traffic gefiltert, bevor er ins eigentliche Rechenzentrum gelangt. So lassen sich selbst hohe Bandbreiten mitigieren.

Sobald eine Mitigation aktiv wird, kann es zu einer erhöhten False/Positiv-Rate kommen. Der Grund: "Freundlicher" Traffic wird fälschlicher Weise als Angriff gewertet und geblockt. DDoS Protection Pro sorgt durch eine permanente Pattern-Erkennung für eine sehr niedrige Rate.

Bei externen DDoS Mitigation/Protection Anbietern stellt sich oft das Problem, dass das eigentliche Origin, also die IP der Webseite, verschleiert werden muss. So soll verhindert werden, dass der Schutz des Origin umgangen und die Attacke um die Mitigation herum geführt wird. InterNetX hingegen arbeitet mit der Origin-Protection. Dabei wird die IP selbst mitigiert und der Origin direkt geschützt. Der Vorteil: Content und DNS-Einstellungen müssen nicht angepasst werden.

Viele DDoS Mitigation/Protection Anbieter stellen zur Angriffsabwehr die IP-Adresse der betroffenen Domain auf eine eigene IP-Adresse um. Der Nachteil: Als Seitenbetreiber ist man so vom Anbieter abhängig. Darüber hinaus bleibt die Gefahr eines Angriffs auf die Origin-IP bestehen, die oft durch DNS-Einstellungen wie MX-Records etc. wieder deutlich wird. InterNetX arbeitet ohne IP-Renumbering. Beim InterNetX DDoS Mitigation Services bleibt die IP-Adresse unverändert bestehen.