So stoppen Sie einen DDOS-Angriff – Beinhaltet wichtige Tools

Was ist ein DDoS-Angriff??

Ein DDoS-Angriff ist ein Cyberangriff, bei dem ausgenutzte Computer und IoT-Geräte verwendet werden, um eine Welle von Datenverkehr an ein Netzwerk zu senden. Ein hohes Verkehrsaufkommen verstopft das Netzwerk und verhindert, dass legitime Geräte miteinander kommunizieren können. Sobald das Netzwerk überlastet ist, können Benutzer nicht mehr auf das Internet zugreifen.

Schätzungen zufolge kosten DDoS-Angriffe zwischen 20.000 und 40.000 US-Dollar pro Stunde. Ein präventiver Ansatz zur Abwehr von DDoS-Angriffen ist unerlässlich, um online zu bleiben. Bevor wir uns ansehen, wie ein DDoS-Angriff gestoppt werden kann, müssen wir zunächst erläutern, was ein DDoS-Angriff ist.

Das Erschreckende an DDoS-Angriffen ist, dass sie jedem passieren können. Selbst multinationale Organisationen mit engagierten Cybersecurity-Experten sind nicht immun gegen Angriffe.

Es gibt unzählige Beispiele für große Anbieter, die von einem opportunistischen Angreifer entgleist werden:

• Am 28. Februar 2018 wurde Github von einem gigantischen DDoS-Angriff mit 1,35 Tbs angegriffen
• Am 30. September 2017 wurde die UK National Lottery durch einen DDoS-Angriff offline geschaltet
• Am 21. Oktober 2016 wurde Dyn von einem Mirar-Botnetz angegriffen, das Datenverkehr über Port 53 sendete
• Am 31. Dezember 2015 wurden BBC-Sites einschließlich BBC iPlayer durch einen DDoS-Angriff mit 602 Gbit / s gestört

Wenn Sie wegen der Tools hier sind und keine Zeit haben, den gesamten Beitrag zu lesen, finden Sie hier eine Liste der besten Tools, um DDoS-Angriffe zu stoppen:

• SolarWinds Security Event Manager (KOSTENLOSE TESTVERSION) Host-basiertes Intrusion Prevention-System, mit dem der Zugriff auf Quellen, bei denen ein DDoS-Angriff festgestellt wurde, gesperrt wird. Läuft auf Windows Server.
• Sucuri Website Application Firewall (MEHR ERFAHREN) Ein Edge-Service, der Ihre Webserver schützt, indem er vor ihnen steht und böswillige Aktivitäten aus dem allgemeinen Datenverkehr herausfiltert.
• Paessler PRTG Network Monitor (KOSTENLOSE TESTVERSION) Ein All-in-One-Netzwerk-, Server- und Anwendungsmonitor mit Verkehrsanalysatoren, die auf übermäßiges Verkehrsaufkommen hinweisen. Läuft auf Windows Server.

Wie funktioniert ein DDoS-Angriff??

Um ein Netzwerk offline zu schalten, muss der Angreifer eine Gruppe von Geräten verwenden, um einen Angriff zu starten. Zu diesem Zweck infiziert der Angreifer ein Computernetzwerk mit schädlicher Software. Das Netzwerk infizierter Computer bildet ein Botnetz. Das Botnetz ist ein Netzwerk von Geräten, die vom Angreifer kontrolliert werden und mit denen der Angreifer ein Netzwerk mit Datenverkehr überfluten kann.

Wenn genügend Verkehr an das Netzwerk gesendet wird, wird es außer Betrieb gesetzt. Verisigns DDoSTrends-Bericht stellte fest, dass der Die durchschnittliche maximale DDoS-Angriffsgröße beträgt 11,2 Gbit / s. Angesichts des Schadens, den ein erfolgreicher Angriff verursachen kann, ist es wichtig, dass Unternehmen sich vor diesen Angriffen schützen können.

Warum starten Leute DDoS-Angriffe??

Leider gibt es viele Gründe, warum Einzelpersonen und Gruppen DDoS-Angriffe ausführen. Einige Angreifer sind motiviert, Konkurrenten außer Gefecht zu setzen, während andere aus politischen Gründen motiviert sind. Eine Handvoll will nur Ärger machen.

Es ist nicht ungewöhnlich, dass Einzelpersonen dafür bezahlen, dass Cyberkriminelle in ihrem Namen ein Botnetz starten. Obwohl es viele Gründe für DDoS-Angriffe gibt, ist das Endergebnis dasselbe. Betriebsstörungen und Ausfallzeiten.

Letztendlich ist es nicht so wichtig zu verstehen, warum Angreifer Angriffe starten, wie man einen Angriff abbricht. Durch klar definierte Cybersicherheitsverfahren haben Sie die Möglichkeit, sich zu verteidigen, unabhängig davon, wer Sie angreifen will, und können Ihnen helfen, im Ernstfall auf dem Laufenden zu bleiben.

Arten von DDoS-Angriffen

Die Abwehr von DDoS-Angriffen beginnt damit, dass Sie sich der Arten von DDoS-Angriffen bewusst werden, denen Sie begegnen können. Im Allgemeinen können DDoS-Angriffe in drei Haupttypen unterteilt werden. Volumenbasierte Angriffe, Protokollangriffe und Angriffe auf Anwendungsebene. Jeder dieser Angriffe funktioniert auf unterschiedliche Weise:

Volumenbasierte Angriffe

Volume-basierte Angriffe sind eine Art von DDoS-Angriff, bei dem die Unterbrechung eines Dienstes vom Volume abhängt. Diese Arten von Angriffen umfassen Paketflutangriffe wie UDP-Fluten, und ICMP-Fluten. Im Falle eines UDP-Flood-Angriffs sendet der Angreifer UDP-Pakete an zufällige Ports eines Computers oder Netzwerks. Der Host sucht weiterhin nach der Anwendung, die den Port überwacht, findet aber nichts. Das Endergebnis ist ein überlastetes Netzwerk.

Protokollangriffe

Protokollangriffe sind DDoS-Angriffe, bei denen Protokolle zum Monopolisieren von Serverressourcen verwendet werden. Häufige Protokollangriffe sind Ping des Todes, SYN-Fluten und Schlumpfangriffe. Im Fall von a SYN-Flut, Der Angreifer sendet gefälschte SYN-Nachrichten, um einen TCP-Handshake mit einem Computer zu initiieren, ohne die Verbindung zu trennen.

Angriffe auf die Anwendungsebene

Angriffe auf Anwendungsebene zielen auf die oberste Ebene des OSI-Modells ab, um Server- und Netzwerkressourcen zu konsumieren. Angriffe auf Anwendungsebene sind sehr beliebt, da der Angreifer nur einen geringen Teil der Bandbreite in Anspruch nehmen muss, um einen großen Effekt zu erzielen. Langsame Rate und niedrige und langsame Angriffe aHäufig auftretende Arten von Angriffen auf Anwendungsebene, denen Unternehmen ausgesetzt sind. Bei einem langsamen und langsamen Angriff wird der Datenverkehr verwendet, um auf Anwendungs- oder Serverressourcen abzuzielen.

DDoS-Angriffspräventionsstrategie

Sobald Sie wissen, was ein DDoS-Angriff ist, können Sie eine Strategie entwickeln, um zukünftige Angriffe zu verhindern. Eine effektive DDoSprevention-Strategie besteht aus mehreren Kernkomponenten:

• Ein Protokollanalyse-Tool
• Eine Website-Anwendungs-Firewall
• Ein NetFlow Analyzer
• Mieten Sie im Haus DDoSexperts

DDoSPrevention-Tool Nr. 1: Erkennen von Angriffen mit Protokollverwaltungstools

SolarWinds Security Event Manager (KOSTENLOSE TESTVERSION)

Bei der Abwehr von DDoS-Angriffen im Vorfeld geht es um Sichtbarkeit. Die Transparenz Ihrer Protokolldaten zeigt Ihnen, was in Ihrer lokalen Umgebung geschieht. SolarWinds Security Event Manager liefert eine Echtzeit-Log-Management-Lösung, die Zeigt Protokolldaten in Echtzeit an So können Sie ungewöhnliche Aktivitäten in Ihrem Netzwerk sehen.

Das Tool bietet außerdem Warnmeldungen mit automatisierten Antworten, um DDoS-Angriffe nach dem Start zu unterbinden. Um sicherzustellen, dass Sie nicht anfällig für bekannte schlechte Schauspieler sind, SolarWinds Security Event Manager Durchsucht Listen bekannter bösartiger Geräte und kann automatisch eine Warnung erstellen oder die IP komplett blockieren.

Durch automatische Antworten können Sie das Risiko für Angreifer verringern, indem Sie die Reaktionszeit verkürzen. Je kürzer Ihre Reaktionszeit ist, desto besser können Sie den Schaden eines Angriffs minimieren.

Wenn ein DDoS-Angriff Ihre Abwehrkräfte überfordert, können Sie mithilfe der Ursachenanalyse feststellen, woher der Angriff stammt. Mithilfe der Ursachenanalyse können Sie Ihre Sicherheitsverfahren optimieren, um sicherzustellen, dass zukünftige Angriffe Ihren Service nicht beeinträchtigen. Sie können die kostenlose Testversion hier herunterladen.

SolarWinds Security Event Manager 30 Tage KOSTENLOSE Testversion herunterladen

DDoS Protection Tool # 2: Schützen einer Website vor einem DDoS-Angriff mit einer WAF

Sucuri Website Application Firewall (MEHR ERFAHREN)

EIN Webanwendungs-Firewall (WAF) sollte im Mittelpunkt Ihrer DDoS-Verteidigungsstrategie stehen. Eine Webanwendungs-Firewall filtert und überwacht den HTTP-Verkehr, um schädliche Aktivitäten zu erkennen. Sobald schlechter Datenverkehr erkannt wird, kann die Firewall ihn blockieren und die IP-Adressen der beteiligten Computer auf eine schwarze Liste setzen.

Webanwendungs-Firewalls sind unerlässlich, um den Datenverkehr vor einem DDoS-Angriff zu schützen, durch den Ihre Website möglicherweise offline geschaltet werden könnte. Sucuris WAF ist eine branchenübliche Firewall für Webanwendungen, die mit einem Antivirenprogramm für Websites geliefert wird. Das Tool wurde speziell für entwickelt Verteidigen Sie sich gegen DDoS-Angriffe auf Layer 3,4, und 7 eines Netzwerks.

Schutz vor Angreifern Mit Sucuri können Sie benutzerdefinierte Regelsätze konfigurieren, um verdächtigen Datenverkehr herauszufiltern und Botnets daran zu hindern, Ihre Bandbreite zu nutzen. Als zusätzlichen Bonus kann Sucuri auch blocken Malware, Zero-Day-Attacken und Brute-Force-Hacks.

FirewallView-Pläne für Sucuri-Webanwendungen & Einzelheiten

DDoS-Schutz-Tool Nr. 3: Verwenden eines NetFlow Analyzer zur Erfassung verdächtigen Datenverkehrs

Paessler PRTG Network Monitor (KOSTENLOSE TESTVERSION)

Das größte Risiko für Ihr Netzwerk ist das Verkehrsaufkommen, das von einem Angreifer gesendet wird. Die Menge an Verkehr, die ein Botnet aufbringen kann, bestimmt die Schwere des Angriffs. NetFlow-Analysatoren eignen sich hervorragend zum Auffinden von Verkehrsspitzen, die auf einen Angriff hinweisen.

NetFlow-Analysatoren mögen Paessler PRTG Netzwerk Monitor kann Ihnen Schwankungen im Netzwerkverkehr und Angriffe anzeigen. Das NetFlow V5, NetFlow V9, und IPFIX-Sensoren kann Ihnen zeigen, ob böswilliger Datenverkehr auf Ihrem Weg gesendet wird. Es gibt Diagramme Ihrer Live-Verkehrsdaten, in denen Sie nach ungewöhnlichen Verkehrsspitzen Ausschau halten können.

Du kannst sogar Konfigurieren Sie Warnschwellenwerte Damit Sie eine Benachrichtigung erhalten, wenn der Datenverkehr ein bestimmtes Niveau erreicht. Transparenz über den Netzwerkverkehr hilft Ihnen, in eine Antwort zu springen, sobald ein Angriff Ihr Netzwerk trifft.

Paessler PRTG Network MonitorDownload 30-tägige KOSTENLOSE Testversion

Einstellung von hausinternen DDoS-Experten oder eines Managers für Anwendungssicherheit

Wenn Sie das Budget haben, das Sie sich leisten können, kann die Einstellung interner Cybersicherheitsexperten zur Bekämpfung von DDoS-Angriffen ebenfalls äußerst vorteilhaft sein. Erfahrene Cybersicherheitsexperten kennen die Art der Angriffe, die Cyberkriminelle verwenden, und können erkennen, wo Ihre Organisation anfällig ist. Erfahrene Cybersicherheitsexperten sind besonders nützlich, wenn es um schwierige Layer-7-Angriffe geht, auf die Angreifer zunehmend zurückgreifen.

Wenn Sie sich jedoch kein internes Personal leisten können, können Sie gute Ergebnisse erzielen, indem Sie in einen verwalteten Sicherheitsanbieter investieren, der fortlaufende Verkehrsüberwachung und Penetrationstests durchführt.

Die Zusammenarbeit mit einem verwalteten Sicherheitsanbieter bietet weiterhin den Vorteil einer fachkundigen Anleitung, jedoch ohne den Aufwand, der mit der Einstellung eines Vollzeitmitarbeiters verbunden ist. Ein verwalteter Sicherheitsanbieter ist eine hervorragende Option, um auf zusätzliches Fachwissen zuzugreifen und gleichzeitig kosteneffizient zu bleiben.

Weitere Best Practices für den Umgang mit DDoS-Angriffen

Es gibt eine Reihe von bewährten Methoden, die Sie neben Ihren Verteidigungsmaßnahmen anwenden können. Dies sind wie folgt:

• Überprovision der Serverbandbreite
• Verwenden Sie ein Content Distribution Network (CDN)
• Schützen Sie Ihr Netzwerk

Überprovision der Serverbandbreite

Überprovisionierung ist die Praxis, mehr Server-Bandbreite zu erwerben, als Sie für den täglichen Betrieb benötigen. Eine höhere Bandbreitenkapazität bietet mehr Widerstand gegen Angriffe. Der Grund dafür ist, dass der Angreifer ein höheres Verkehrsaufkommen senden muss, um Ihren Dienst zu unterbrechen. Überprovisionierung kann helfen, einigen Angriffen mit geringerem Volumen entgegenzuwirken.

Verwenden Sie eine CDN

DDoS-Angriffe zielen auf Ihren Hosting-Server ab. Wenn Sie Ihre Daten jedoch auf mehrere globale Server verteilen, ist dies der Fall kein einziger Punkt des Versagens. Wenn Sie keine einzige Fehlerquelle haben, können Sie nicht durch einen Serverfehler offline geschaltet werden, da Ihnen noch andere Server zur Verfügung stehen, mit denen Sie arbeiten können. Ein CDN ist eine hervorragende Methode, um Angriffen standzuhalten.

Schützen Sie Ihr Netzwerk

Um Angriffe zu vermeiden, müssen Sie sicherstellen, dass Ihr Netzwerk vor Angreifern geschützt ist. Um die Sicherheit Ihres Netzwerks zu gewährleisten, sollten Sie nicht nur Ihre Netzwerkinfrastruktur scannen, sondern neben Ihrer Protokollverwaltungslösung auch ein Intrusion Detection-System verwenden, um nach Schwachstellen zu suchen.

Trainieren Sie Ihre Mitarbeiter

Die Mitarbeiter über die Gefahren von Cyberangriffen und das Sichern von Netzwerkgeräten aufzuklären, ist von größter Bedeutung, um Schäden in Ihrem Netzwerk zu vermeiden. Ihre Mitarbeiter sind die Menschen vor Ort, wenn ein Angriff stattfindet. Wenn Sie sie darin schulen, wie sie Malware oder verdächtige Aktivitäten erkennen und wie sie auf einen Angriff reagieren, wird der potenzielle Schaden eines Angriffs minimiert.

Tipps zum Reagieren auf einen DDoS-Angriff

Selbst mit der besten Strategie der Welt können Sie nicht verhindern, dass ein DDoS-Angriff durch das Netz rutscht. Es ist wichtig, einen Plan zu haben, wie Sie reagieren sollen, wenn Sie wissen, dass ein Angriff stattfindet. Wie Sie reagieren, wenn ein Angriff aktiv wird, bestimmt, wie viel Schaden angerichtet wird und wie lange Sie offline sind. Hier einige Tipps zum Reagieren auf einen DDoS-Angriff:

1. Kenne die Anzeichen eines Angriffs

Als Erstes müssen Sie sich und Ihre Mitarbeiter über die Anzeichen eines Angriffs informieren, damit Sie schnell auf einen Angriff reagieren können. Können Geräte nicht auf das Internet zugreifen? Befindet sich eine Menge ungewöhnlicher Daten im Netzwerk? In der Lage zu sein, die verräterischen Anzeichen eines Angriffs zu erkennen, beschleunigt Ihre Reaktionen. Mitarbeiter können keine Maßnahmen ergreifen, um einen Angriff abzuwehren, wenn sie nicht erkennen, dass ein Angriff stattgefunden hat!

Ein Bandbreitenüberwachungs-Tool kann bei der Suche nach großen Verkehrsmengen in Ihrem Netzwerk hilfreich sein. Sie haben ein kleines Zeitfenster, bevor Ihr Server überlastet ist, um Serverprotokolle zu löschen und so online zu bleiben.

1. Diagnostizieren Sie den Ursprung des Angriffs

Um effektiv reagieren zu können, müssen Sie wissen, woher der Angriff kommt und um welche Art von Angriff es sich handelt. Das schnelle Wiederherstellen von Vorgängen in Ihrem Netzwerk ist nicht möglich, wenn Sie nicht wissen, woher der Angriff kommt. Falls Sie den Ursprung nicht erkennen können, müssen Sie einen Treffer abwarten, bis der Angriff verstrichen ist.

1. Analysieren Sie den Angriff nach dem Ereignis

Sobald der Angriff vorbei ist, ist es Zeit zu bewerten, was passiert ist. Ermitteln Sie, ob in Ihrem Antwortprozess Sicherheitslücken oder Unzulänglichkeiten aufgetreten sind. Könnte Ihr Bandbreitenüberwachungstool eine bessere Sichtbarkeit haben? Könnte die Kommunikation Ihres Teams besser oder Ihre Reaktionszeit schneller sein? Das Erkennen dieser Bereiche, in denen Verbesserungen erforderlich sind, ist eine hervorragende Möglichkeit, um sicherzustellen, dass Sie auf einen erneuten DDoS-Angriff vorbereitet sind.

Der Schlüssel zu einer erfolgreichen Abwehr: Prävention und schnelle Reaktion

Prävention und schnelle Reaktion sind die Kernelemente einer DDoS-Verteidigungsstrategie. Mithilfe von Tools wie Protokollverwaltungslösungen, Website-Firewalls oder Netzwerkanalysatoren können Sie Angriffe frühzeitig abfangen. Diese reichen jedoch nicht aus, um zu verhindern, dass sich Angriffe auf Ihr Geschäftsergebnis auswirken.

Ein hohes Maß an Widerstand gegen einen Angriff hängt davon ab, wie schnell Ihr Team unter Druck reagiert. Der Aufbau einer Mitarbeiterkultur, die auf Cybersicherheit Wert legt und erkennt, wie ein DDoS-Angriff zu bekämpfen ist, verringert den Schaden, wenn ein Angreifer durch das Netz rutscht.