Der DDoS-Abwehrmechanismus von IONOS

In diesem Artikel sind wichtige Informationen und Empfehlungen zum Schutz vor Distributed Denial of Service (DDoS)-Angriffen aufgeführt.

Distributed Denial of Service (DDoS) ist ein Angriff, bei dem bei einem Zielsystem absichtlich eine Überlastung herbeigeführt wird. Zu diesem Zweck senden Cyberkriminelle eine so hohe Anzahl an Anfragen mittels eines sehr großen Verbunds von verteilten Computern an das Zielsystem, dass dieses komplett ausgelastet und nicht mehr erreichbar ist. Das Zielsystem kann z. B. eine Website, eine Anwendung oder ein Netzwerk sein.

Strategien der Cyberkriminellen

Die Strategien, die von den Cyberkriminellen genutzt werden, können in folgende Kategorien eingeteilt werden:

Überlastung der Bandbreite: Bei dieser Strategie zielt der Angriff auf eine Überlastung der Netzwerkschnittstelle der Zielsysteme ab. Diese Angriffe richten sich direkt auf das Netzwerk und die jeweiligen Verbindungsgeräte. Hierbei wird die Bandbreite komplett in Anspruch genommen, damit das Zielsystem nicht mehr erreichbar ist.

Überlastung der Systemressourcen: Diese Angriffsstrategie zielt auf eine Überlastung der verfügbaren Ressourcen von Zielsystemen wie z. B. einem Webserver ab. Bei dieser Strategie wird der Umstand ausgenutzt, dass das Zielsystem nur eine begrenzte Anzahl an Verbindungen herstellen kann. Cyberkriminelle senden eine sehr hohe Anzahl an ungültigen Anfragen an das Zielsystem, so dass die Systemressourcen überlastet werden. Aufgrund der Überlastung kann das System keine gültigen Anfragen mehr bedienen.

Angriffe auf Anwendungsebene: Diese Angriffe nutzen bestimmte Sicherheitslücken eines Betriebssystems oder Programms aus, um Softwarefehler oder Systemabstürze auszulösen. Beispiele für diese Angriffe sind z. B. eine Flut von HTTP-Anfragen auf einer Anmeldungsseite oder ein WordPress Pingback-Angriff. 

Pingbacks werden von WordPress gesetzt, wenn ein Blogger in seinem Artikel Bezug auf externe Beiträge nimmt. Der Blogger des Originalbeitrags erhält einen ebenfalls automatisch erstellten Hinweis auf die Verlinkung. Bei einem WordPress Pingback-Angriff wird diese Funktion ausgenutzt, um einen gefälschten Pingback-Request massenhaft an unterschiedliche WordPress-Blogs zu senden. Die Blogs fragen anschließend beim Zielsystem nach dem Erhalt des Requests nach und blockieren dieses.

Der DDoS-Schutz von IONOS

Bei IONOS bieten wir zwei Arten von DDoS-Schutz an: 

Von Kunden verwaltete Produkte 

Produkte: Dedicated Server, Virtual Server Cloud, VPS, Cloud Server

Schutzlösung: Global Scrubbing Platform (GSP)

Schwerpunkt: DDoS-Schutz auf der Netzwerk- und Transportschicht (OSI-Schicht 3/4)

Schutz gegen: volumetrische DDoS-Angriffe, UDP, TCP Angriffe

Von unseren Kunden verwaltete Produkte, wie z. B. Dedicated Server, VPS und Cloud Server, sind mit der Global Scrubbing Platform (GSP) gesichert. Dieser fortschrittliche Schutz konzentriert sich auf DDoS-Angriffe auf Netzwerk- und Transportebene, einschließlich volumetrischer Angriffe, UDP und TCP Angriffe.
 

Von IONOS verwaltete Produkte 

Produkte:  Shared Hosting, Managed WordPress, Managed Nextcloud

Schutzlösung: WebShield

Schwerpunkt: DDoS-Schutz auf der Anwendungsebene

Schutz vor: Überlastungen der Anwendungsschicht (z. B. HTTP/HTTPS)

Von IONOS verwaltete Produkte wie z. B. Shared Hosting, Managed WordPress oder Managed Nextcloud bieten DDoS-Schutz auf Anwendungsebene durch WebShield. Dieser Schutz konzentriert sich auf die Abwehr von Überlastungen der Anwendungsschicht, insbesondere im Datenverkehr über die Protokolle HTTP und HTTPS.

Verbessern Sie Ihren DDoS-Schutz

Obwohl IONOS einen robusten automatischen DDoS-Schutz bietet, können wir Ihnen keinen hundertprozentigen Schutz gegen alle Bedrohungen garantieren. Um die Sicherheit Ihres Servers weiter zu verbessern, sollten Sie die folgenden Sicherheitsempfehlungen beachten und umsetzen:

Firewall-Konfiguration: Öffnen Sie in Ihrer Firewall nur Ports, die Sie wirklich benötigen und geben Sie diese nur für erforderliche Protokolle frei, um den ein- und ausgehenden Datenverkehr zu filtern. So können Sie die Gefahr eines unbefugten Zugriffs verringern und gängige DDoS-Angriffsvektoren verhindern.

Software-Updates und Sicherheitspatches: Stellen Sie sicher, dass das Betriebssystem und die auf dem Server installierten Programme stets auf dem neuesten Stand sind. Regelmäßige Sicherheitspatches und Updates schließen Sicherheitslücken, die DDoS-Angreifer ausnutzen können. 

In der Regel werden bekannt gewordene Schwachstellen mithilfe von veröffentlichten Updates innerhalb von kürzester Zeit wieder geschlossen. Dies funktioniert jedoch nur, wenn Sie sich regelmäßig über Sicherheitspatches und Updates für das Betriebssystem und die installierten Programme informieren und diese zeitnah installieren. 

Wenn Sie ein Linux-Betriebssystem verwenden, können Sie spezifische Skripte wie z. B. apt-listchanges oder apticron nutzen, um sich täglich über neue verfügbare Softwarepakete zu informieren und diese herunterzuladen. 

Intrusion Detection Systeme: Implementieren Sie Intrusion Detection Systeme, um DDoS-Angriffsversuche in Echtzeit zu erkennen und darauf zu reagieren. Bekannte Intrusion Detection Systeme sind z. B. Tripwire, Aide und Psad.

Schutz auf der Anwendungsebene: Für zusätzlichen Schutz vor Anwendungsangriffen wie HTTP Floods, SSL Renegotiation und Slowloris empfehlen sich Maßnahmen wie z. B. IP-Reputation Monitoring, CAPTCHAs, Ratenbegrenzung und Whitelisting.

Zugriffsbeschränkung: Um die Serversicherheit zu erhöhen, sollten Sie den Zugriff auf den Server nur den Benutzern erlauben, die damit arbeiten müssen.

Backup-Strategie: Entwickeln Sie eine passende Backup-Strategie, um die Auswirkungen von DDoS-Angriffen abzuschwächen und die Daten Ihres Servers bei Bedarf schnell wiederherzustellen. Weitere Informationen hierzu finden Sie im folgenden Artikel:

Daten und Endgeräte mit einer passenden Backup-Strategie schützen

Content Delivery Network (CDN): Volumetrische Angriffe zielen darauf ab, die Netzwerkbandbreite zu überlasten. Ein CDN kann den Datenverkehr bei groß angelegten volumetrischen Angriffen, aufnehmen und verteilen.

Wenn Sie weitere Fragen haben oder Hilfe benötigen, wenden Sie sich bitte an den IONOS Kundenservice.