Schutz vor DDoS-Attacken: Welche Lösungen gibt es?

DDoS-Attacken können Websites und Shops vorübergehend lahmlegen. Wir stellen die gängigen Technologien zur DDoS-Abwehr vor.

Basisschutz im Rechenzentrum des Providers

Grundsätzlich betreibt jeder auf Geschäftskunden spezialisierte Cloud-Anbieter einen Basis-Schutz im eigenen Rechenzentrum. Mitunter wird dieser auch als kostenfreier DDoS-Schutz beworben. Dieser soll für die Erreichbarkeit Ihrer Systeme sorgen, während Angriffe auf andere Kunden im selben Rechenzentrum stattfinden. Dabei erkennt der Provider alle Arten von DDoS-Attacken schnell und trifft entsprechende Gegenmaßnahmen. Jedoch ist die Erreichbarkeit bei einer Attacke gegen Ihre eigenen Systeme durch diese Lösung nicht garantiert. Zudem werden Ausfallzeiten durch DDoS-Attacken branchenüblich von den Service Level Agreements (SLA) ausgeschlossen.

Wie viel kostet eine Downtime Ihr Unternehmen

Finden Sie es heraus: Einfach ein paar Daten eingeben und schon sehen Sie, wie sich ein Ausfall pro Sekunde auswirkt.

Jetzt simulieren

DDoS-Attacken richtig abwehren

Neben dem Basis-Schutz bieten Cloud-Anbieter in Zusammenarbeit mit spezialisierten CDN- und DDoS-Mitigation-Anbietern zusätzliche Lösungen an. Dabei ist eine Fülle von Produkten auf dem Markt erhältlich, die sich grob in diese Kategorien unterteilen lässt:

CDN-basierte Lösungen

Einige Anbieter von CDN-Lösungen (Content Delivery Network) bieten als weiteren Service effiziente DDoS-Lösungen, welche auf ihrer weltweit verteilten Infrastruktur basieren. Diese Lösungen wehren DDoS-Attacken bereits am Rande des Netzwerks ab, bevor sie Ihre Webanwendungen erreichen. Dazu werden sie der Hosting-Umgebung vorgeschaltet und können auf diese Weise den gesamten Webtraffic säubern. Die Verfügbarkeit Ihres Online-Shops oder Ihrer Website bleibt somit erhalten.

Bei den CDN-basierten Lösungen spricht man auch von DNS-Forwarding (das Domain Name System löst eine Anfrage an eine Domain zu der entsprechenden IP-Adresse des Zielsystems auf). Die DNS-Einträge der zu schützenden Umgebung werden so angepasst, dass der Traffic zunächst auf die Mitigation-Infrastruktur trifft.

DDoS Scrubbing Center

Bei diesen Lösungen wird Ihrer Infrastruktur ein Scrubbing Center vorgeschaltet. Jeglicher Traffic zu der Umgebung wird dort gefiltert und anschließend über eine gesicherte Leitung zum Hosting-Anbieter weitergeführt. Der Schutz greift in diesem Falle für Ihre gesamte gehostete Umgebung. Diese Lösung ist besonders dann sinnvoll, wenn neben dem Webshop auch andere Unternehmensanwendungen auf der gehosteten Infrastruktur laufen.

Ein anderer Name für diese Technologie ist BGP-Routing (BGP = Border Gateway Protocol, das im Internet eingesetzte Routingprotokoll).

Dedizierte Hardware

Zum Schutz vor DDoS-Attacken ist es auch möglich, eine Hardwareinstanz als transparentes Gateway zwischen der öffentlichen Netzwerkumgebung und der Hosting-Infrastruktur bzw. im Verbund mit einer Load-Balancing- oder Firewalling-Infrastruktur zu betreiben. Diese filtert den eingehenden Datenverkehr automatisiert nach DDoS- und anderen Angriffsmustern. Schadtraffic wird somit frühzeitig erkannt und herausgefiltert, sodass er die Hosting-Umgebung gar nicht erst erreicht. Der Nachteil liegt hier jedoch darin, dass diese Lösungen eine geringere Angriffsbandbreite bewältigen können als die anderen Produkte.