Root Server Sicherheit: Erkenung und Schutz vor DDoS Attacken

Zwar sind oft die Server großer Unternehmen oder gar ganzer Regierung das Ziel von DDoS-Attacken, jedoch können und werden täglich auch private Webseiten und Server mit Hilfe solcher Methoden attackiert. DDoS steht für „Distributed Denial of Service“ und beschreibt damit relativ genau, mit welchen Auswirkungen zu rechnen ist, nämlich dem (für Nutzer) Totalausfall des Services (Webseite, Cloud-Computing, NAS etc.).

Wie funktioniert eine DDoS-Attacke?

Prinzipiell zielen DDoS-Attacken immer darauf ab, die Infrastruktur des Ziels zu überlasten. Um dies zu erreichen kann man sich beispielsweise die speziellen Verhaltensmuster verschiedener Internetprotokolle zu Nutze machen (Exploit), eine unerwartet hohe Anzahl von Clients mit dem Server verbinden, für dessen Bedienung er nicht ausgelegt ist (Bandbreitenüberlastung) oder eine hohe Anzahl an HTTP-Anfragen erzeugen, die eine hohe Leistung benötigen und damit den Server selbst überlasten (Ressourcenüberlastung). Für DDoS-Attacken auf kleinere Server reichen bereits wenige Clients, doch mit gesteigerter Leistungsfähigkeit werden immer mehr Ressourcen nötig, weswegen viele Angreifer so genannte Botnetze für die Verteilung missbrauchen. DDoS-Angriffe werden oft als Druckmittel eingesetzt, können aber auch nur eine Ablenkung für eine im Hintergrund ablaufende Attacke sein, die ganz andere Ziele hat, beispielsweise das Stehlen von sensiblen Daten. Denn nicht selten wird auch die Firewall durch die Attacken überlastet und verweigert ihren Dienst ganz oder teilweise.

Erkennung einer DDoS-Attacke

Meistens werden DDoS-Attacken erst dann wirklich als solche erkannt, wenn es zu spät ist und der Server bereits den Dienst versagt. Das liegt zum einen an der wahnsinnigen Geschwindigkeit – eine koordinierte Attacke dauert im Idealfall nur Sekunden – zum anderen aber auch daran, dass Fluktuationen, beispielsweise im Bezug auf den Traffic, zunächst nicht als Attacke wahrgenommen werden. Trotzdem ist ein solcher „Peak“, also ein schneller Anstieg der verbundenen Clients oder der ankommenden Anfragen, beinahe immer ein Vorzeichen einer nahenden oder bereits beginnenden DDoS-Attacke. Ein guter Anhaltspunkt sind auch die Serverlogs. Tauchen hier im Minuten- oder gar Sekundentakt immer wieder die gleichen Clients auf, lässt sich bereits von ungewöhnlichem Traffic sprechen, der streng überwacht werden sollte.

DDos-Attacken abwenden – So schützt man seinen Server

Da DDoS-Attacken mittlerweile zu den am häufigsten genutzten Arten von Angriffen auf fremde Systeme zählen, gibt es eine ganze Reihe spezialisierter Services und Methoden, DDoS-Attacken abzuwenden oder zumindest das Ausmaß soweit möglich zu reduzieren. Eine der simpelsten Methoden ist das Herausfiltern von Traffic über die IPTables der Firewall. Hiermit lassen sich ganze Netzwerke wirkungsvoll aussperren, allerdings ist es nicht besonders schwer, diese Sperre mit Hilfe einer IP-Mask zu umgehen.

Für zusätzlichen Schutz rät zum Beispiel der Hoster Mittwald seinen Kunden Virtual Root- und Dedicated Root Server mit sogenannten „On Premise“-Lösungen auszustatten. Dabei kann es sich um Hard- oder Softwarelösungen handeln, die den Traffic analysieren und ungewöhnliche Anfragen herausfiltern und dauerhaft bannen können. Je nach Angebot können solche Lösungen direkt vom Hoster installiert werden, laufen dann aber über die gleiche Infrastruktur wie der Server selbst und sind daher beispielsweise für Flood-Angriffe eher weniger geeignet.

Auf DDoS-Abwehr spezialisierte Cloud-Dienste stellen momentan die wohl sicherste Methode dar: Hier wird „On Premise“ mit verschiedenen Cloud-Diensten kombiniert. Das Ergebnis ist eine gute Überwachung per Software oder teilweise sogar durch Mitarbeiter, die bei Traffic-Peaks sofort Gegenmaßnahmen einleiten und im Extremfall den „Abfall-Traffic“ auf starke Leitungen mit mehreren Hundert Gigabit umleiten können. DDoS Angriffe können demnach nicht verhindert werden, der schadhafte Traffic wird lediglich umgeleitet und so sind selbst gut gesicherte Root Server nicht komplett sicher vor großen Botnetzwerken.