Massnahmen zum Schutz vor DDoS-Angriffe

Unter DDoS (Distributed Denial of Service) versteht man einen Angriff auf Computer-Systeme mit dem erklärten Ziel, deren Verfügbarkeit zu stören. Für das Opfer kann dies weitreichende wirtschaftliche Folgen haben. Im Gegensatz zur einfachen DoS-Attacke erfolgt der Angriff bei DDoS von vielen verteilten Rechnern aus. Der Angriff kann dabei auf Netzwerkebene, auf Anwendungsebene oder einer Kombination davon erfolgen. In der Regel werden für solche Attacken sogenannte Bot-Netze (eine riesige Anzahl gehackter Systeme, die vom Angreifer ferngesteuert werden können) oder schlecht konfigurierte Drittsysteme (z. B. Open DNS Resolver) verwendet. Diese werden durch manipulierte Anfragen dazu gebracht, grosse Antworten an die «falsche» Adresse – nämlich die des Zielsystems – zu schicken (Amplification-Angriffe). Das Datenvolumen erreicht oft mehrere hundert Gbit/s. Dies sind Volumina, die eine einzelne Organisation ohne fremde Hilfe in der Regel nicht mehr bewältigen kann. Entsprechend konfigurierte Firewalls und IPS (Intrusion Prevention Systeme) helfen nur bedingt.

Die Motivation hinter solchen DDoS-Attacken ist meistens politischer Aktivismus, Erpressung oder Schädigung eines Konkurrenten

Vorbeugende Massnahmen

Idealerweise haben Sie sich mit der DDoS-Problematik schon vorgängig auseinandergesetzt und eine gewisse DDoS-Abwehrbereitschaft erreicht.

  • Sie kennen Ihre Infrastruktur und deren Schwächen. Welche Dienste sind so wichtig, dass deren Ausfall weitreichende Auswirkungen auf Ihre Organisation haben könnte? Versuchen Sie dabei auch an Basissysteme zu denken, ohne die Ihre kritischen Geschäftsanwendungen nicht funktionieren.
  • Sie kennen den «Normalzustand» Ihrer Netze und Systeme und erkennen Anomalien (z. B. Intrusion Detection Systeme IDS, zentralisierte Logauswertung). Eine DDoS- Attacke sollte entdeckt werden, bevor Ihre Kunden sie bemerken können.
  • Überwachen Sie die Verfügbarkeit Ihrer Kundenanwendungen auch aus der Sicht Ihrer Kunden, das heisst vom Internet her.
  • Ihre Systeme sind gehärtet (keine unnötigen Dienste, strikte Rechtevergabe, starke Authentisierung, usw.) und auf aktuellem Patch-Level. SYN-Cookies sind aktiviert etc.
  • Eine vorgelagerte Firewall lässt nur benötige Protokolle zum System durch. Die Firewall verfügt über genügend Systemressourcen, um auch im Falle eines DDoS-Angriffs funktionsfähig zu bleiben. Dabei ist ein grosses Augenmerk auf die Connection Table sowie auf eine gute Regelverwaltung zu legen, damit Sie im Notfall zusätzlich viele Blockierungsregeln implementieren können.
  • Prüfen Sie die Möglichkeiten eines GeoIP-Blockings. Wenn Ihre Kunden vorwiegend aus der Schweiz und dem nahen Ausland stammen, können Sie ein Profil vordefinieren, welches IP-Adressen aus diesem Raum entweder Priorität einräumt oder andere IP-Adressen blockiert. Im Angriffsfall können Sie dieses Profil aktivieren und gewinnen so sehr schnell an Handlungsoptionen und zusätzlichem Schutz.
  • Eine Web-Application Firewall minimiert die Angriffsfläche auf webbasierte Dienste.
  • Systeme, die potenziell Opfer einer DDoS-Attacke werden könnten (z. B. Webauftritt), sollten an einem anderen Internet-Uplink hängen als die übrigen Systeme der Organisation. Die betroffenen Systeme können so einfacher unter den Schutzschild eines DDoS-Mitigation-Providers gestellt werden, ohne dabei die restlichen Systeme zu tangieren, die für das Tagesgeschäft nötig sind.
  • Stellen Sie Ausweichlösungen bereit, z. B. eine statische Website mit minimalen Informationen, welche bei einem anderen Provider bereitsteht und die Sie mit einer einfachen Änderung im DNS aktivieren können.
  • Achten Sie generell darauf, eine gute Balance in den TTLs der DNS Server zu haben, so dass Sie genügend schnell eine Domänenauflösung umstellen können.
  • Sie haben eine Strategie für den Fall einer DDoS-Attacke. Die zuständigen Personen kennen das Vorgehen sowie die internen und externen Kontakte (Service Provider, Polizeistellen etc.)
  • Im Fall der Fälle können Sie auf interne oder vertraglich zugesicherte externe Ressourcen zugreifen (insbesondere Personal und Infrastruktur).
  • Sie haben den Fall einer DDoS-Attacke mit Ihren internen Stellen und den externen Partnern besprochen und auch geübt. Jeder kennt seine Rolle und Ansprechpartner!

Weiterführende Informationen

Letzte Änderung 30.11.2021

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/infos-fuer/infos-behoerden/aktuelle-themen/massnahmen-schutz-ddos.html