Wie viel Zeit brauchen Sie wirklich, um den DDoS-Schutz zu verbinden?
Ein Distributed-Denial-of-Service-Angriff (DDoS-Angriff) ist ein Versuch, eine Website oder einen Onlinedienst mit Datenverkehr aus mehreren Quellen zu überfluten, um ihn für Benutzer nicht verfügbar zu machen. Online-Händler sind vollständig vom Internet abhängig und dadurch besonders anfällig für Cyberangriffe. Selbst kurze Ausfallzeiten können für Online-Shops verheerend sein. Hacker können einer Website großen Schaden zufügen: Umsatz- und Gewinnverluste, erhöhte Rückbuchungskosten, Lösegeldzahlungen usw. Glücklicherweise können Geschäftsinhaber ihre Websites vor Hackerangriffen und den katastrophalen Folgen eines DDoS-Angriffs schützen. Die meisten Website-Besitzer versuchen, einen DDoS-Angriff ohne externe Hilfe zu lösen, und suchen, wenn das nicht funktioniert, einen Schutzdienstanbieter auf, um eine professionelle DDoS-Schutzlösung anzuschließen. Einigen Geschäftsinhabern gelingt es jedoch, einen DDoS-Angriff zu stoppen. Warum brauchen manche Unternehmen Hilfe und andere nicht? Wie lange dauert es wirklich, den DDoS-Schutz zu verbinden?
Szenario 1: Ein Website-Betreiber bindet eine professionelle Schutzlösung an
Stellen wir uns vor, es gibt einen Online-Shop, der Kleidung verkauft. Eines Tages bemerkt sein Besitzer, dass seine Site zunächst langsam arbeitet und dann einen Fehler anzeigt (502 schlechtes Gateway, 503-Dienst vorübergehend nicht verfügbar). Welche Maßnahmen werden normalerweise in solchen Situationen ergriffen?
1. Der Client versteht zunächst nicht, warum die Seite einen Fehler anzeigt. Es dauert ungefähr zwei Stunden, um die Ursache des Problems zu finden
2. Dann erkennt er, dass ein DDoS-Angriff stattfindet, und versucht selbst herauszufinden, wie er ihn stoppen kann. Es dauert normalerweise zwei oder drei weitere Stunden.
3. Wenn der Inhaber des Internetshops versteht, dass er das Problem aufgrund fehlender Kapazitäten nicht selbst bewältigen kann und auch, weil er für eine solche Situation im Allgemeinen nicht bereit ist, beginnt er mit der Suche nach einem Schutzdienstanbieter. Er versucht, eine DDoS-Schutzlösung zu erhalten, und plötzlich stellt sich heraus, dass er das DNS aktualisieren muss und dies mehr Zeit in Anspruch nehmen wird (es kann Minuten, aber auch Stunden dauern).
Infolgedessen können die Folgen einer eintägigen Ausfallzeit der Verlust von Einnahmen, neuen Möglichkeiten, Kunden und Reputation sein.
Trotz der scheinbaren Einfachheit des DDoS-Schutzes dauert die Implementierung einer professionellen Website-Schutzlösung mehrere Stunden oder einen ganzen Tag. Deshalb ist es wichtig zu haben DDoS Schutz bevor Probleme auftreten.
Szenario 2: Was ein Website-Besitzer selbst tun kann
Wenn der Websitebesitzer über genügend Ressourcen, Kapazität und Wissen verfügt, kann er versuchen, einen Angriff selbst zu stoppen. Betrachten wir die grundlegenden Gegenmaßnahmen, wenn ein Angriff stattfindet.
Es gibt verschiedene Arten von DDoS-Angriffen, aber im Allgemeinen gibt es zwei Hauptangriffe: auf Paketebene und auf Anwendungsebene.
Wichtige Empfehlungen, wenn Sie einen Angriff auf Paketebene beobachten (L3-L4)
- Untersuchen Sie die Angriffskraft – können Sie sie möglicherweise ohne fremde Hilfe abschwächen?
- Erfassen Sie den angreifenden Datenverkehr und überprüfen Sie, welche Protokolle für den Angriff verwendet werden (mithilfe von Wireshark, tcpdump oder einem ähnlichen Tool). Versuchen Sie herauszufinden, ob es möglich ist, diese Protokolle auf übergeordneten Geräten oder mit Hilfe Ihres Internetdienstanbieters (ISP) zu blockieren.
- Wenn nicht, müssen Sie den Datenverkehr analysieren (integrierte Statistiktools in Wireshark verwenden) und herausfinden, ob es möglich ist, bestimmte Protokolle/Signaturen oder IP-Adressen zu blockieren, von denen der Angriff ausgeführt wird. Es sei daran erinnert, dass eine beträchtliche Anzahl von Angriffen auf Paketebene von willkürlichen (generierten) IP-Adressen ausgeführt wird
- Schützen Sie den Server so weit wie möglich mit einer Firewall, schließen Sie alle ungenutzten Ports und begrenzen Sie die Anzahl der Anfragen von einer IP-Adresse
- Erfolgt ein Angriff über das TCP-Protokoll, verwenden Sie das im Linux-Kernel eingebaute TCP SYNPROXY mit Hilfe von iptables
Empfehlungen zur Abwehr eines Angriffs auf Anwendungsebene – HTTP (L7)
Sie müssen alle oben genannten Empfehlungen anwenden, um einen Angriff auf Paketebene abzuschwächen, sowie einige weitere Ratschläge:
- Überprüfen Sie die Optimalität der Einstellungen des Webservers (nginx oder Apache)
- Analysieren Sie die Anfragen, mit denen Sie angegriffen wurden – Sie können Webserver-Protokolle verwenden. Wenn Angriffe von einer begrenzten Anzahl von IP-Adressen stammen oder ähnliche Signaturen haben, die sich von legitimem Datenverkehr unterscheiden, können sie manuell über die Webserverkonfiguration blockiert werden
- Verwenden Sie fail2ban oder automatisieren Sie das Verbot von Adressen, die gegen „die Regeln“ verstoßen, manuell
- Verwenden Sie das „testcookie“-Modul für nginx für eine einfache Überprüfung von Browsern auf Cookie-Unterstützung und HTTP-Umleitung
Gegen DDoS-Angriffe gibt es verschiedene Gegenmaßnahmen. Sie können versuchen, einen Angriff selbst abzuschwächen, aber denken Sie daran, dass Ihre Ressourcen (Server oder Internetbandbreite) begrenzt sind. Wenn die Ressourcen des Angreifers Ihre übersteigen, können Sie den Angriff nicht selbst stoppen. Sie müssen Ihren ISP fragen, ob er einen DDoS-Angriff stoppen kann, oder dringend nach einem Unternehmen suchen, das sich darauf spezialisiert hat.
Abschließend
Sie können einen Angriff selbst abwehren, vorausgesetzt, Ihre Infrastruktur ist darauf vorbereitet und Sie verfügen über die erforderlichen Kapazitäten, um dies selbst durchzuführen. Wenn die Kapazität des Angreifers Ihre übersteigt, werden Ihre Bemühungen wahrscheinlich scheitern.
Sie können Ihren ISP bitten, den Angriff abzuschwächen, aber auch diese Methode garantiert nicht, dass das Problem gelöst wird. Nicht alle ISPs verfügen über die erforderlichen Ressourcen und Kenntnisse, da der DDoS-Schutz möglicherweise nicht ihre Spezialität ist.
Wenden Sie sich besser an a spezialisierter Anbieter von DDoS-Schutzdiensten und richten Sie professionellen Schutz ein, bevor es zu Angriffen kommt.