Was tun gegen DDoS-Angriffe?


Was tun gegen DDoS-Angriffe?

Wenn jemand Ihre Webseite oder Ihren Dienst angreift, passieren im Netzwerk mehrere Dinge. In dieser Anleitung beschreiben wir die einzelnen Schritte zur Schadensbegrenzung bei einem DDoS-Angriff.

Stop_DDOS_step
Mitigating_normal_state

Schritt 1: Normalzustand (kein Angriff)

Im Normalzustand sind Websites und Dienste vollständig verfügbar. Zur Orientierung ist es sinnvoll, den Netzwerktraffic Ihrer Dienste in diesem Zustand festzuhalten: Netzwerkbandbreite in bit/s, pps, Anfragen pro Sekunde oder Workload der Infrastruktur.

Auch lassen sich spezielle Edge Network Firewall-Regeln konfigurieren, die bei einem Angriff automatisch aktiviert werden. Mit diesen Regeln können Sie die Firewall-Regeln eines Servers auslagern und eine Überlastung der Serververbindung verhindern. Es empfiehlt sich, diese Regeln gelegentlich zu überprüfen.

Mit einem Dashboard können Sie Ihre Dienste nicht nur in technischer Hinsicht, sondern auch in Bezug auf Ihre geschäftlichen Aktivitäten überwachen. Im Falle eines Angriffs kann es hilfreich sein, damit die Perspektive Ihrer Kunden einzunehmen.

Schritt 2: Der Angriff beginnt

Ein Angriff der Art Distributed Denial of Service durch ein Botnet aus Geräten lässt sich zuerst an einem Präsenzpunkt (PoP) feststellen. Hier verbinden sich die Dienste von OVHcloud mit den Routern anderer Betreiber, um auf das Internet zuzugreifen. Von dort aus gelangt der für den Angriff genutzte Traffic in unser weltweites Backbone-Netzwerk. Dank unserer sehr hohen Bandbreitenkapazität werden in der Regel keine Links überlastet.

Als Nächstes erreicht der Traffic des Cyber-Angriffs den Server und wird dort verarbeitet. Anzeichen für ungewöhnliche Aktivitäten sind eine hohe Auslastung der Ressourcen und eine niedrige Netzwerkleistung. Die Ursachen dafür sind erhöhter Internettraffic sowie abnehmende Dienstqualität. Außerdem entdeckt der DDoS-Schutz von OVHcloud durch die Traffic-Analyse den Angriff in der Regel und löst entsprechende Maßnahmen aus. Damit greifen auch die Edge Network Firewall-Regeln für die Aktivierung dieser IP-Adresse, falls sie nicht ohnehin bereits wirken. Lösen viele kurze Angriffe jedes Mal VAC aus? Dann empfiehlt es sich vielleicht, über unsere REST API einen längeren Timeout zur Abwehr des Angriffs hinzuzufügen.

Falls ein Teil Ihrer Infrastruktur außerhalb des OVHcloud-Netzwerks liegt, benötigen Sie möglicherweise Tools von Drittanbietern, um einen Angriff abzuwehren. Des weiteren können Sie dem Network Operations Center (NOC) Details zu dem Angriff nennen, Ihre Dienste skalieren, die Durchsatzraten begrenzen und, wenn verfügbar, den Button „Ich werde angegriffen“ aktivieren.

Mitigating_attack_starts
Mitigates_attack

Schritt 3: DDoS-Schutz (VAC) wehrt Angriffe ab.

Wenn ein Angriff erkannt wird, beginnt die Abwehr binnen weniger Sekunden. Unsere VAC-Nodes analysieren den eingehenden Traffic. Dann wird der Angriff blockiert. Dabei gibt es keine Einschränkungen in Bezug auf Umfang oder Dauer. Der legitime Traffic erreicht den Server weiterhin. Diese „automatische Abwehr“ wird komplett von OVHcloud gemanagt. Wir informieren Sie per E-Mail zu den Geschehnissen. Der Hinweis „Anti-DDoS vac stage“ erscheint, während der Pfad der Datenpakete zu Ihrem Server oder Dienst analysiert wird. Dies geschieht mit „mtr“ oder „traceroute“.

Schritt 4: Das Ende des DDoS-Angriffs

DDoS-Angriffe sind kostspielige Unterfangen, besonders dann, wenn sie ihr Ziel nicht erreichen. Meistens dauern Angriffe zwischen 10 bis 12 Minuten. Das Anti-DDoS-System wird automatisch deaktiviert, wenn ein Angriff vorbei ist, oder nach nutzerdefinierten Kriterien. Es wird dann in Bereitschaft gehalten, um den nächsten Angriff abzuwehren.

Mitigating_attack_end

Sind Sie startklar?

Erstellen Sie einen Account und starten Sie Ihre Dienste in nur wenigen Minuten.

FAQ

Gegen welche Arten von Angriffen schützt eine DDoS-Schutzinfrastruktur?

Cybersicherheit deckt ein breites Spektrum von Bedrohungen ab. Unsere Anti-DDoS-Infrastruktur ist auf die größte dieser Gefahren ausgelegt: Angriffe vom Typ Distributed Denial of Service, Fluten von Datenpaketen (inkl. SYN-Flood), Spoofing, Angriffe durch erhöhten Traffic oder Verformung der Datenpakte uvm. Die meisten dieser Bedrohungen können Sie nicht selbst filtern, da sie die Netzwerkverbindung vor Ihrem Server überlasten.