Maximaler Schutz gegen
DDoS-Attacken

Implementierung des M-net Anti-DDoS-Programms

Ideal zugeschnitten auf M-net Direct-Access und M-net Housing

Datenverkehr-Schutz mit dem Anti-DDoS-Tool

Das M-net Anti-DDoS-Programm basiert auf den M-net-Produkten Direct- Access bzw. Housing und implementiert darauf aufbauend den Schutz des Kunden-Datenverkehrs durch spezielle Infrastruktur und permanente Überwachung, so dass Sie DDoS-Attacken sofort erkennen und nachverfolgen können.

Die Hauptaufgabe ist dabei der Schutz vor volumetrischen Attacken, Transportprotokoll-Anomalien, Angriff auf Protokolle (wie TCP, http, https/TLS etc.) aber auch auf Dienste und Applikationen (wie DNS, SIP etc.). Der Schutz ist komplementär zum Einsatz von Firewalls, IPS, Antivirus, Antispam und eventuell WAF (Web Application Firewalls) Ihres Unternehmens.

On-Premise vs. In the Cloud

Um Ihr Unternehmen vor DDoS-Angriffen (Distributed Denial of Service) zu schützen, müssen Attacken erkannt, gefiltert und blockiert werden. Gleichzeitig sollen reguläre Nutzeranfragen jedoch ungehindert weiterfließen können. Die Bekämpfung von DDoS-Angriffen kann „On-Premise“ mit Hardware vor Ort oder „In the Cloud“ erfolgen. Herkömmliche Lösungen wie Firewalls, WAF (Web Application Firewall) und IPS (Intrusion Prevention System) sind nicht geeignet.

Bei der „On-Premise“-Bekämpfung wird eine spezielle Hardware im Internetzugang eines Ihres Unternehmens installiert. Die Vorrichtung erkennt ungewollte Anfragen bzw. missbräuchlichen Traffic und filtert diese heraus.. Eine volumetrische DDoS Attacke lässt sich mit dieser Lösung jedoch nicht abwehren.

Der Schutz vor diesen auch „Flood Attacks“ genannten volumetrischen Angriffen muss bereits vor dem Internetzugang des Unternehmens ansetzen – anderenfalls wird dieser überlastet und es kommt trotz Schutzeinrichtung zur Blockade von Diensten.
Die gängige Abwehrlösung liegt deshalb „In the Cloud“. Noch besser ist aber die Bekämpfung direkt beim Carrier. Sie bietet die gleichen Vorteile wie die „On-Premise“-Lösung, kann aber auch Volumenangriffe erkennen und abwehren.

Schutzmaßnahmen beim Carrier prüfen den eintreffenden Traffic zunächst in einem sogenannten „Scrubbing Center“ auf verdächtige Muster. Dabei werden missbräuchliche Anfragen vom System geblockt, während saubere Anfragen durch eine „Clean Pipe“ an die IT-Infrastruktur des Kunden weitergeleitet werden.

Die DDoS-Prüfung erfolgt kontinuierlich („always on“) statt „on request“. Dadurch können DDoS-Angriffe deutlich schneller erkannt und bekämpft werden, so dass die geschützte Infrastruktur gar nicht erst erreicht wird. Auch größere Re-Routing bzw. IP-Routing-Maßnahmen sind nicht erforderlich. Ihre lokalen Netzwerk- und Internetverbindungen bleiben verfügbar und Ihre Geschäftsprozesse können ungestört weiterlaufen.

Schutz für PC vs. Schutz für Server


Anders als Einzel-PCs müssen Firmen-Rechner und -Netzwerke rund um die Uhr verfügbar sein. Deshalb ist ein umfassender Schutz vor DDoS-Angriffen elementar. Doch trotz seiner Wichtigkeit Bedeutung kursieren viele Mythen zum Thema DDoS-Schutz:

DDoS-Schutz durch Firewalls, IPS oder CDN?
Achtung: Firewalls, IPS (Intrusion Prevention System) und CDN (Content Delivery Network) bieten keinen Schutz vor DDoS-Angriffen und können selbst Ziel eines DDoS-Angriffs werden. CDNs reagieren zwar auf die Symptome eines DDoS-Angriffs, tragen durch das Absorbieren der riesigen Datenmengen aber dazu bei, dass alle Daten und somit auch die Angreifer ins Netzwerk gelangen. Verstärkungsangriffe über NTP/DNS werden vollständig ignoriert.
DDoS-Schutz auf nur einer Ebene?
DDoS-Angriffe kombinieren zumeist mehrere dynamische Vektoren, etwa volumetrische Angriffe, TCP-Überlastungsangriffe (State Exhaustion) sowie Angriffe auf Applikationsebene. Darum ist ein mehrstufiger DDoS-Schutz notwendig. Flooding-Angriffe lassen sich beispielsweise am besten abwehren, wenn der DDoS-Schutz „upstream“ beim Carrier installiert ist, und so der manipulierte Traffic die IT-Infrastruktur gar nicht erst erreicht. Beschränkt sich der DDoS-Schutz auf eine einzige Ebene, ist er wirkungslos.
Wer sollte uns schon angreifen?
DDoS-Attacken nehmen immer weiter zu. Zum einen wird es zunehmend leichter, eine DDoS-Attacke zu starten – die leicht zu bedienenden Tools hierfür finden sich sogar kostenlos im Netz. Zum anderen verstärken neue Motive, Stichwort Hacktivists, gewöhnliche Hacker und Cyberkriminelle in ihrem Handeln. Längst sind dabei nicht mehr nur eCommerce und Finanzunternehmen betroffen. Unternehmen, die noch kein Angriffsziel waren, werden immer mehr zur Ausnahme.
DDoS-Schäden vs. Kosten eines DDoS-Schutzes?
Die Folgen von DDoS-Attacken sind vielfältig: Unternehmen sind nicht erreichbar, weil Mailserver und IP-Telefone nicht funktionieren, Unternehmensabläufe kommen zum Erliegen, weil Programme und Daten nicht verfügbar sind und Kunden sind unzufrieden, weil sie Dienste nicht nutzen können. Die Folgen der fehlenden IT-Verfügbarkeit sind häufig hohe Vermögensschäden durch Arbeitsausfall, Auftragseinbußen oder Kundenverluste, Image- und Vertrauensschäden sowie Gutschriften und Schadensersatzleistungen müssen bei der Kostenbewertung ebenfalls berücksichtigt werden.
DDoS-Angriffe sind keine komplexen Bedrohungen?
Technisch gesehen ist das korrekt. DDoS-Angriffe müssen aber in einem größeren Zusammenhang gesehen werden, denn sie dienen immer häufiger dazu, das Abwehrverhalten von Unternehmen auszuspähen, um unbemerkt Malware einzuschleusen oder bei Datendiebstählen und Wirtschaftsspionage vom eigentlichen Angriffsziel abzulenken. Ein mehrstufiger DDoS-Schutz ist also nicht nur für die Diensteverfügbarkeit elementar, sondern auch für den Schutz kritischer Unternehmensdaten.
Fazit: Wenn Sie auf Ihre geschäftskritischen Anwendungen angewiesen sind und Vermögensschäden vermeiden möchten, müssen Sie Ihr Netzwerk durch eine integrierte, mehrstufige Lösung vor DDoS-Attacken schützen!

Start der DDoS-Mitigation

Automatisches Erstellen und Starten von Abwehrmechanismen für den PE-Datenverkehr (Protected Entity)

Alarmierung (Notification) Blockierung auffälliger Nutzer Bogon Filter Erkennung diverser Protokoll-Anomalien/-Attacken Event-driven bzw. kontext- und ereignissensitive Abwehr Filter per Nutzer/IP- Adresse-/Adressbereiche GEO Blocking IP Reputation Filter Protokoll-Verifizierung Rate Limiting Schutz vor Flooding-Attacken (HTTP, SYN, UDP, etc.) Whitelisting/Blacklisting
  • Alarm-E-Mail seitens M-net an den Kunden bei einem Major-Alarm durch das DDoS-Schutzsystem, z.B. bei massiver Überschreitung definierter Schwellwerte (Thresholds)
  • Telefonisch durch den Kunden an die M-net Hotline, z.B. bei Responsezeitprobleme, Serverüberlastung etc.
An Hand definierter Schwellwerte können auffällige Nutzer durch das System blockiert werden.
Es wird überprüft, ob die verwendete IP-Adressen gültig sind, bzw. wird eine Plausibilitätsprüfung der ein- und ausgehenden Subnetze durchgeführt.
  • Ungültige Pakete und Protokollverletzungen (Invalid Packets)
  • Zombie-Erkennung (Botnetze / Zombie Detection)
  • TCP-SYN Authentication and HTTP-Authentication
  • DNS Authentication
  • DNS Malformed
  • HTTP Malformed
  • SIP Malformed
  • TCP Connection Reset (traffic detection only)
  • Baseline Enforcement
Die Art der Gegenmaßnahme wird in die folgenden Gruppen eingeteilt:

  • Anwendungs-Kontext (Application-specific, Stream-based):
    Die M-net DDoS-Schutz-Lösung ordnet dem Verkehrsstrom eine Anwendung zu, bevor es die Gegenmaßnahme einleitet.
  • Zeitlicher Kontext (Time-based):
    Timer erkennen bestimmte Ereignisse, z.B. wird die TCP-Verbindung zurückgesetzt, wenn eine Verbindung zu lange im Leerlauf bleibt.
Es kann das Verhalten einzelner IP-Adressen oder ganzer IP-Adressbereiche überwacht werden.
Ausschluss von Nutzern aus bestimmten Regionen (länderspezifisch). Das System hat zudem die Möglichkeit, Verkehr an Hand der geografischen Herkunft der Absenderadresse, wie Land und/oder Region, zu verwerfen bzw. zu begrenzen.
Abgleich mit einer IP-Reputation Datenbank, die IP-Adressen identifiziert, die potentieller Bestandteil eines Botnetzes sind, oder anderweitig negativ aufgefallen sind. Die IP-Reputation Datenbank wird durch eine dedizierte Research Organisation generiert, die weltweit Daten ermittelt und auswertet. Die Aktualisierung dieser Datenbank erfolgt mehrmals täglich.
Es kann überprüft werden, ob der Nutzer (IP-Adresse) auch das für ihn zugelassene Protokoll spricht (z.B. http, https, usw.) und ob Protokollstandards eingehalten werden.
Individuelle Begrenzung der Datenrate (auf Zielsystem-, Port- und Protokollebene) ist möglich.
Volumenbasierte Attacken auf Kunden-Webseiten werden erkannt und durch das Schutzsystem blockiert.
Das System hat die Möglichkeit Blacklist und Whitelist zu verwenden.

DDoS erkennen und auswerten mit optionalem WebUI

Ergänzen Sie das M-net DDoS-Schutzpaket mit dem Webbrowser-kompatiblen Monitoring

Autonome Auswertung Ihrer Netz-Infrastruktur

  • Grafische Benutzeroberfläche ist über alle Browser abrufbar
  • Echtzeitüberprüfung des Anschluss-Status
  • Schutz auf Protokollebene der Layer 3 und 4, und auf Layer 7 (Anwendungsebene) gemäß dem OSI-Schichtenmodell
  • Bestandteil des DDoS-Schutzpaket Advanced oder als kostenpflichtige Option zum DDoS-Tool zubuchbar

Immer gut beraten

Wählen Sie Ihren gewünschten Weg der Kontaktaufnahme

Kontaktseite für Geschäftskunden

Hier finden Sie sowohl unser Kontakt­formular als auch Infor­mationen zu Ihren regionalen Ansprech­partnern.

Kontaktseite aufrufen
Kostenlose Infoline

Sie erreichen unsere kostenlose Infoline Montag bis Freitag von 08:00 Uhr bis 18:00 Uhr.

0800 1808888
Regionaler Direkt-Kontakt

Wählen Sie Ihre Region für Infor­mationen zu den Ansprech­partnern vor Ort.

Zum Ansprechpartner Zum Ansprechpartner Zum Ansprechpartner Zum Ansprechpartner Zum Ansprechpartner Zum Ansprechpartner Zum Ansprechpartner Zum Ansprechpartner Zum Ansprechpartner Zum Ansprechpartner Zum Ansprechpartner Zum Ansprechpartner Zum Ansprechpartner