DDoS-Abschwächung

Dieser Artikel wurde am 25. Mai 2024 auf den Seiten der Qualitätssicherung eingetragen. Bitte hilf mit, ihn zu verbessern, und beteilige dich bitte an der Diskussion! Folgendes muss noch verbessert werden: Ubersetzungsunfall ("....um Menschenverkehr von menschlichen Robotern...") braucht dringend Hilfe Flossenträger 06:39, 25. Mai 2024 (CEST)

Eine DDoS-Abschwächung ist eine Reihe von Netzwerk-Verwaltungstechniken und/oder Werkzeugen, um die Auswirkungen einer verteilten Dienstverweigerungs-Attacke (englisch distributed denial-of-service, DDoS) auf mit dem Internet verbundenen Netzwerken zu überstehen oder abzuwehren, indem Ziele und Relay-Netzwerke geschützt werden.

DDoS-Abschwächung funktioniert, indem die Grundbedingungen für den Netzwerkverkehr identifiziert und deren "Verkehrsmuster" analysiert wird, um Gefahren zu entdecken und zu alarmieren.^[1] DDoS-Abschwächung muss auch einkommenden Verkehr identifizieren, um menschliche Zugriffe von menschenähnlichen Robotern und gekaperten Webbrowsern zu unterscheiden. Es ist auch wichtig zu bedenken, dass eine Abschwächung nicht auf code-basierter Software funktioniert. Dieser Prozess beinhaltet das Vergleichen von Signaturen und das Untersuchen von verschiedenen Attributen des Verkehrs, inklusive IP-Adressen, Cookie-Verschiedenheiten, HTTP-Headern und Browser-Fingerabdrücken.

Nachdem erkannt wurde, ist der nächste Schritt die Filterung. Filterung kann durch Anti-DDoS-Technologien, wie Verbindungsverfolgung, IP-Reputationslisten, Deep Packet Inspection, Blacklisting/Whitelisting oder Durchsatzratenbegrenzung erledigt werden.^[2][3]

Eine Technik ist, den Netzwerkverkehr, der an ein potenzielles Zielnetzwerk gerichtet ist, über Hochleistungsnetzwerke mit „Traffic Scrubbing“-Filtern weiterzuleiten.^[1]

Manuelle DDoS-Abschwächung wird nicht mehr empfohlen, aufgrund der Größe der Angriffe, die in vielen Firmen/Organisationen oft die verfügbaren Humanressourcen übersteigt.^[4] Andere Methoden zur Verhinderung von DDoS-Angriffen können implementiert werden, beispielsweise lokale und/oder cloudbasierte Lösungsanbieter. Lokale Schadensbegrenzungstechnologie (meistens ein Hardware-Gerät) ist oft vor dem Netzwerk platziert. Das würde die maximale Bandbreite auf die vom Internetdienstanbieter vorgesehene begrenzen.^[5] Häufige Methoden sind Hybrid-Lösungen, indem lokale Filterung und cloud-basierte Lösungen kombiniert werden.^[6]

DDoS-Attacken sind eine konstante Gefahr auf Geschäfte und Organisationen, da sie die Leistungen von Diensten verzögern, oder eine Website komplett abschalten.^[7] Sie werden gegen Internetseiten und Netzwerken von ausgewählten Opfern ausgeführt. Eine Reihe von Anbietern bieten „DDoS-resistente“ Hosting-Dienste an, die meist auf ähnlichen Techniken wie Content-Delivery-Netzwerken basieren. Die Verteilung vermeidet einen einzigen Staupunkt und verhindert, dass sich der DDoS-Angriff auf ein einzelnes Ziel konzentriert.

Eine Technik von DDoS-Angriffen ist falsch konfigurierte Drittanbieter-Netzwerke mit Hilfe von Verstärkung^[8] von gefälschten UDP-Paketen zu attackieren. Die ordnungsgemäße Konfiguration der Netzwerkausrüstung, die Eingangs- und Ausgangsfilterung ermöglicht, wie in BCP 38^[9] und RFC 6959^[10] dokumentiert, verhindert Verstärkung und Spoofing und reduziert so die Anzahl der für Angreifer verfügbaren Relay-Netzwerke.

• Verwenden des Client-Puzzle-Protokolls oder des Guided-Tour-Puzzle-Protokolls
• Nutzung des Content Delivery Network
• Blacklisting von IP-Adressen
• Verwenden eines Intrusion-Erkennungs-Systems und Firewall

• Sicherheitslücke
• DDoS
• Computerkriminalität
• Cyberattacke
• VPN

1. ↑ ^{a b} Pierluigi Paganini: Choosing a DDoS mitigation solution…the cloud based approach In: Cyber Defense Magazine, 10. Juni 2013. Abgerufen im 25. März 2024 (englisch). 
2. ↑ Duncan Geere: How deep packet inspection works In: Wired.com, 27. April 2012. Abgerufen im 25. März 2024 (englisch). 
3. ↑ Dan Patterson: Deep packet inspection: The smart person’s guide In: Techrepublic.com, 9. März 2017. Abgerufen im 25. März 2024 (englisch). 
4. ↑ Francis Tan: DDoS attacks: Prevention and Mitigation In: The Next Web, 2. Mai 2011. Abgerufen im 25. März 2024 (englisch). 
5. ↑ Sean Leach: Four ways to defend against DDoS attacks (Memento des Originals vom 12. Juni 2018 im Internet Archive) In: Networkworld.com, 17. September 2013. Abgerufen im 25. März 2024 (englisch). 
6. ↑ Robin Schmitt: Choosing the right DDoS solution (Memento des Originals vom 12. Juni 2018 im Internet Archive) In: Enterpriseinnovation.net, 2. September 2017. Abgerufen im 24. März 2024 (englisch). 
7. ↑ Marc Gaffan: The 5 Essentials of DDoS Mitigation In: Wired.com, 20. Dezember 2012. Abgerufen im 25. März 2014 (englisch). 
8. ↑ Christian Rossow: Amplification DDoS. In: christian-rossow.de. Abgerufen im 1. Januar 1 
9. ↑ Daniel Senie, Paul Ferguson: Network Ingress Filtering: IP Source Address Spoofing. IETF, 2000, abgerufen am 25. Mai 2024 (englisch). 
10. ↑ Danny R. McPherson, Fred Baker, Joel M. Halpern: RFC 6959 – Source Address Validation Improvement (SAVI) Threat Scope. 2013 (englisch).