Hybrider Schutz vor DDoS-Angriffen

Das Cloud-Overflow-Konzept

von - 15.10.2018
Einen hybriden Schutz bieten zum Beispiel die Defense-Pro-Appliances von Radware. Sie schützen ganze Rechenzentren und bieten Kapazitäten für Angriffe mit 6 bis 200 oder gar 400 GBit/s. Selbst für Software-defined Data Center hat Radware passende virtuelle Appliances im Programm, die nach Angaben des Unternehmens Angriffe mit einer Datenrate von bis zu 20 GBit/s abwehren können. Schwerwiegendere Attacken lassen sich on demand an die Cloud-Infrastruktur von Rad­ware weiterreichen, wo sie mit noch höheren Kapazitäten bekämpft werden können. Wahlweise leitet man dafür den gesamten Traffic oder nur einen Teil um. Wie bei allen Cloud-Varianten muss dabei auch der Dienstleister die restriktiven Vorgaben der Datenschutz-Grundverordnung (DSGVO) zum Umgang mit personenbezogenen Daten einhalten.
Das Overflow-Modell hat eine Reihe von Vorteilen, auch wenn es bislang noch nicht sehr weit verbreitet ist. So sind die Kosten für die lokal anzuschaffende Hardware relativ gering, da sie nicht auf große Angriffe ausgelegt werden muss. Auch die Kosten für die Überlauf-Dienste in die Cloud bleiben niedrig, da sich viele Angriffe bereits On-Premise abwehren lassen. Trotzdem schützen sie sowohl vor kleinen als auch vor groß angelegten DDoS-Attacken.
Radware verwendet nach eigenen Angaben zur Bekämpfung von DDoS-Angriffen inzwischen auch Methoden aus dem Bereich Machine Learning, um erwünschten von unerwünschtem Datenverkehr besser unterscheiden zu können. Diese KI-Techniken sollen eine weit schnellere Reaktion auf neue Angriffe erlauben als traditionelle Maßnahmen. Sie beruhen, ähnlich wie die klassische Bekämpfung von Viren, noch auf manuell erstellten Signaturen. Zunächst legen die Algorithmen ein Modell des normalen, legitimen Traffics an. Auf diese Weise lassen sich Anomalien und andere Abweichungen später leichter erkennen.
Wird später ein Angriff bemerkt, erstellen die Algorithmen eine erste Signatur, die zur Erkennung und Blockierung der unerwünschten Datenpakete verwendet wird. Das Besondere am maschinellen Lernen ist, dass diese Signatur im Lauf des Angriffs automatisch und kontinuierlich angepasst und verbessert werden kann. Eingriffe durch Menschen sind meist nicht mehr nötig. Bei völlig randomisierten Angriffen, die auch immer wieder auftreten, wird notfalls der gesamte Traffic fallengelassen, der nicht dem ursprünglich als legitim eingestuften Datenverkehr entspricht. Speziell gegen Burst-Angriffe, die in wenigen Sekunden einen Dienst oder Server zum Absturz bringen können, wurden zusätzlich harte Grenzen für eingehenden Traffic entwickelt. Die Technik wird Rate-Limiting genannt. Die Limits gelten dabei nur für den Zeitraum, bis eine erste Signatur zur Verfügung steht.

Fazit & Ausblick

Der hybride Schutz vor DDoS-Attacken ist ein besonders erfolgversprechender Ansatz, mit dem sich Unternehmen vor der wachsenden Gefahr eines erpresserischen DDoS-Angriffs schützen können. Kleinvolumige Angriffe werden dabei bereits lokal abgefangen, während größere Attacken an ein externes Scrubbing-Center umgeleitet werden, das die Daten bereinigt und anschließend wieder zurückleitet. Auf diese Weise erreichen Unternehmen einen umfassenden Schutz, halten gleichzeitig aber die Kosten niedrig, da die lokale Hardware vergleichsweise bescheiden ausgelegt werden kann und die Cloud-In­frastruktur nur relativ selten benötigt wird
Anbieter hybrider Schutzdienste gegen DDoS-Attacken (Auswahl)
Mittlerweile gibt es eine ganze reihe von Anbietern, die nicht mehr nur entweder On-Premise-Lösungen oder nur Cloud-Dienste zur Abwehr von DDoS-Angriffen im Portfolio haben. Sie bieten stattdessen eine Kombination aus beiden Schutzmethoden an.
Seite
  1. Teil: Hybrider Schutz vor DDoS-Angriffen
  2. Teil: Angriffstechnik
  3. Teil: Moderne Schutzmaßnahmen
  4. Teil: Das Cloud-Overflow-Konzept
  5. Teil: Im Gespräch mit Frank Siemons, Security-Experte beim InfoSec-Institute
Verwandte Themen

Mehr zum Thema