Im ersten Quartal 2020 haben DDoS-Attacken extrem zugenommen. Vor allem Bildungseinrichtungen und kommunale Seiten waren besonders betroffen. 19 Prozent aller DDoS-Attacken zielten in den ersten drei Monaten des Jahres auf solche Einrichtungen ab, damit hat sich die Anzahl gegenüber dem Vorjahreszeitraum verdreifacht. Aber auch große und kleine private Unternehmen sind betroffen.
Nach Untersuchungen von Cloudflare betragen die durchschnittlichen Kosten eines Infrastrukturausfalls für Unternehmen 100.000 Dollar (90.000 EUR) pro Stunde. Wie kann man also sicherstellen, dass deine Organisation nicht Opfer dieser Art von Angriffen wird? In diesem Ratgeber stellen wir dir die großen Infrastruktur-Provider vor, die über die notwendige digitale Stärke verfügen, um dich vor Angriffen zu schützen, die deine Netzwerkkapazität überlasten sollen.
Ausserdem erfährst du, welche Anbieter Schutz vor komplexeren Angriffen auf Anwendungen (Layer 7) bieten können, die ohne eine grosse Anzahl von gehackten Computern (manchmal auch als Botnetz bezeichnet) durchgeführt werden können.
1. Project Shield
Warum können Sie TechRadar vertrauen? Unsere Experten verbringen Stunden damit, Produkte und Dienstleistungen zu testen und zu vergleichen, damit Sie das Beste für sich auswählen können. Erfahren Sie mehr darüber, wie wir testen.
Leistungsstarker DDoS-Schutz von Google, aber nicht für jeden freigeschaltet
PLUS:
Nutzt die Infrastruktur von Google
Sehr einfache Einrichtung
MINUS:
Nur für ausgewählte Websites verfügbar
Project Shield ist die Idee von Jigsaw, einem Ableger von Googles Muttergesellschaft Alphabet. Die Entwicklung begann vor einigen Jahren unter George Conard nach Angriffen auf Websites zur Wahlbeobachtung und zu Menschenrechtsfragen in der Ukraine.
Project Shield ist in der Lage, potenziellen böswilligen Verkehr zu filtern, indem es als Reverse-Proxy zwischen einer Website und dem Internet sitzt und Verbindungsanfragen filtert. Wenn eine Verbindung von einem legitimen Besucher zu stammen scheint, erlaubt Project Shield die Verbindungsanfrage. Wird festgestellt, dass eine Verbindungsanfrage schlecht ist, z.B. mehrere Verbindungsversuche von derselben IP-Adresse aus, dann wird sie blockiert. Mit diesem System ist Project Shield extrem einfach zu implementieren, indem du einfach die DNS-Einstellungen deines Servers änderst.
Jeder Power-User, der das liest, könnte sich fragen, wie das Filtern des Verkehrs über einen Proxy mit SSL funktioniert. Glücklicherweise hat Jigsaw daran gedacht und ein umfassendes Tutorial zusammengestellt, um sicherzustellen, dass sichere Verbindungen zu deiner Website nahtlos funktionieren. Einige weitere Tutorials sind ebenfalls im Support-Bereich verfügbar.
Gegenwärtig ist Project Shield nur für Websites mit Bezug zu Medien, Wahlbeobachtung und Menschenrechten verfügbar. Das Hauptaugenmerk liegt auch auf kleinen, mit zu wenig Ressourcen ausgestatteten Websites, die sich keine teuren Hosting-Lösungen zum Schutz vor DDoS leisten können. Wenn deine Organisation diese Anforderungen nicht erfüllt, musst du möglicherweise eine alternative Lösung wie Cloudflare in Betracht ziehen.
2. Cloudflare
Das Schwergewicht beim DDoS-Schutz
PLUS:
Branchenführer bei DDoS-Lösungen
Kostenlose Stufe beinhaltet Basisschutz
MINUS:
Business-Pakete sind relativ teuer
Jeder, der in den letzten Jahren das Internet genutzt hat, wird mit Cloudflare vertraut sein, da viele große Websites seinen Schutz in Anspruch nehmen. Obwohl Cloudflare in den USA beheimatet ist, unterhält es über 180 Datenzentren auf der ganzen Welt: eine Infrastruktur, die mit der von Google konkurriert. Dies maximiert die Chancen deiner Websites, weiterhin online zu bleiben.
Jeder Cloudflare-Benutzer kann wählen, ob er den Modus "Ich werde angegriffen" aktivieren möchte, der selbst vor den raffiniertesten DoS-Angriffen schützt, indem er eine Überprüfung per Javascript vornimmt. Routinemäßig fungiert Cloudflare auch als Reverse-Proxy, der zwischen den Besuchern und deinem Website-Host sitzt und den Verkehr ähnlich wie Jigsaws Project Shield filtert. Im März 2019 führte Cloudflare Spectrum für UDP ein, das DDoS-Schutz und Firewalling für unzuverlässige Protokolle bietet.
Besucher, die Verbindungsanfragen stellen, müssen einen Spießrutenlauf mit ausgeklügelten Filtern durchlaufen, darunter die Reputation der Website, ob ihre IP auf einer schwarzen Liste steht und ob der HTTP-Header verdächtig erscheint. HTTP-Anfragen werden zum Schutz vor bekannten Botnets mit einem Fingerabdruck versehen. Als Branchenriese kann Cloudflare seine Position leicht ausnutzen, indem es Informationen über die mehr als 7 Millionen von ihm verwalteten Websites austauscht.
Cloudflare bietet ein kostenloses Basispaket an, das einen grundlegenden DDoS-Schutz bietet. Für diejenigen, die bereit sind, für ein Cloudflare-Geschäftsabonnement zu zahlen (Preise beginnen bei 20 Dollar pro Monat), ist ein weitergehender Schutz verfügbar, wie z.B. das Hochladen von benutzerdefinierten SSL-Zertifikaten.
3. AWS Shield
Ausgezeichneter, grundlegender DDoS-Schutz mit weiteren Möglichkeiten
PLUS:
Standardmäßige kostenlose Stufe schützt vor den häufigsten Angriffen
Einfache Einrichtung
MINUS:
Erweiterter Schutz ist sehr teuer
Der AWS-Schutzschild wird von Amazon Web Services bereitgestellt. Die Stufe 'Standard' steht allen AWS-Kunden ohne Aufpreis zur Verfügung. Dies ist ideal, da viele kleine Unternehmen sich dafür entscheiden, ihre Websites bei Amazon zu hosten. AWS Shield Standard steht allen Kunden ohne Aufpreis zur Verfügung. Es schützt vor typischen Angriffen auf das Netzwerk (Layer 3) und den Transport (Layer 4), wenn die Cloud-Front- und Route-53-Dienste von Amazon genutzt werden.
Dies dürfte außer die dreistesten Hackern, so ziemlich alle abschrecken. Deine Bandbreite, z.B. 15 Gbp/s, wird jedoch weiterhin durch die Größe deiner Amazon-Instanz begrenzt sein, so dass Hacker einen DoS-Angriff durchführen können, wenn sie über ausreichende Ressourcen verfügen. Schlimmer noch, Du bleibst für den zusätzlichen Datenverkehr zu deiner Instanz verantwortlich.
Um dies zu entschärfen, bietet Amazon auch AWS Shield Advanced an. Ein Abonnement beinhaltet einen DDoS-Kostenschutz, der dich vor einem enormen Anstieg deiner monatlichen Nutzungsrechnung bewahren kann, wenn du Opfer eines Angriffs wirst. AWS Shield Advanced kann deine ACLs (Access Control Lists) auch bis an die Grenze des AWS-Netzwerks selbst verteilen, was dir Schutz selbst vor den größten Angriffen bietet.
Advanced-Abonnenten profitieren außerdem von einem DRT (DDoS Response Team) rund um die Uhr sowie von detaillierten Metriken über alle Angriffe auf ihre Instanzen. Die Sicherheit, die AWS Shield Advanced bietet, ist jedoch teuer. Du musst bereit sein, dich für mindestens ein Jahr zu einem Preis von 3.000 Dollar pro Monat zu registrieren. Dieser Preis kommt zu den Kosten für die Nutzung der Datenübertragung hinzu, die du auf einer "pay as you go"-Basis deckeln kannst.
4. Microsoft Azure
Brillanter Basisschutz
PLUS:
Standardschutz ist extrem einfach einzurichten
Automatisierte Bedrohungsabwehr
MINUS:
Pauschaler DDoS-Schutz für alle Ressourcen
Wie Amazon bietet auch Microsoft über seinen Dienst Azure die Möglichkeit, Service-Space zu mieten. Alle Mitglieder profitieren von einem grundlegenden DDoS-Schutz. Zu den Funktionen gehören die ständige Überwachung des Datenverkehrs und die Echtzeit-Minderung von Netzwerkangriffen (Layer 3) für alle von dir verwendeten öffentlichen IP-Adressen. Es handelt sich dabei um dieselbe Art von Schutz, der auch den Microsoft-eigenen Online-Diensten gewährt wird, und die gesamten Ressourcen des Azure-Netzwerks können zur Absorption von DDoS-Angriffen genutzt werden.
Für Unternehmen, die einen komplexeren Schutz benötigen, bietet Azure auch eine "Standard" Variante an. Diese ist weithin dafür gelobt worden, dass sie sehr einfach zu aktivieren ist und nur wenige Mausklicks erfordert. Entscheidend ist, dass du bei Azure keine Änderungen an deinen Apps vornehmen musst, obwohl die Standard-Schicht Schutz vor DDoS-Angriffen der Anwendung (Layer 7) über die Web-App-Firewall des App-Gateways bietet. Azure Monitor kann dir Echtzeit-Metriken anzeigen, wenn ein Angriff stattfindet. Diese werden 30 Tage lang gespeichert und können zur weiteren Untersuchung exportiert werden, wenn du dies wünschst.
Azure überprüft ständig den Webverkehr zu deinen Ressourcen. Wenn diese einen vordefinierten Schwellenwert überschreiten, wird automatisch eine DDoA-Abwehr gestartet. Dazu gehört die Überprüfung von Paketen, um sicherzustellen, dass sie nicht deformiert oder gefälscht sind, sowie die Verwendung von Geschwindigkeitsbegrenzungen.
Der Preis für den Standardschutz beträgt derzeit 2.483 EUR pro Monat plus Datengebühren für bis zu 100 Quellen. Der Schutz gilt für alle Ressourcen gleichermaßen. Mit anderen Worten: Sie können die Schutzmaßnahmen für DDoS nicht auf einzelne Ressourcen zuschneiden.
