Politisch motivierte DDoS-Angriffe treffen immer häufiger Unternehmen und Behörden. Wir erklären, wie Sie Ihre DNS-Infrastruktur optimal schützen können, warum eine Firewall nicht ausreicht und welche Vorteile ein Anycast Service hat.
Dass Cyberkriminelle die Webseiten von Organisationen mit Daten überfluten, ist nicht neu. Das US-Unternehmen Cloudflare berichtete, dass der DDoS-Verkehr im vierten Quartal 2022 im Vorjahresvergleich auf Netzwerkebene um 79 Prozent gestiegen sei. Auch die Angriffe auf Anwendungsebene nahmen in ähnlicher Höhe zu.
„Es gibt vermehrt volumetrische Angriffe, aber auch Random Subdomain Attacken, um autoritative Nameserver außer Gefecht zu setzen. Diese haben bei schlechtplatzierten Nameservern den Nebeneffekt, die „State-Tables“ der Firewall zu überfüllen“, sagt Klaus Darilion, Head of Operations von RcodeZero DNS. Die Angriffe auf Nameserver können fatale Auswirkungen haben. Wenn die Namensauflösung nicht mehr funktioniert, fallen Services wie E-Mail, Webseite und die firmeninterne Kommunikation aus. Im schlimmsten Fall kommen die Geschäfte komplett zum Erliegen.
Firewalls schĂĽtzen nicht vor DDoS-Angriffen
Viele Unternehmen vertrauen darauf, dass eine Firewall DDoS-Attacken abwehrt. Das Gegenteil kann jedoch der Fall sein, warnt Darilion. Gezielte Angriffe können die Stateful-Firewall lahmlegen. Das liegt daran, dass die Firewall standardmäßig den Zustand aller Verbindungen prüft und speichert. Bei einem Angriff müssen mehr als eine Million Anfragen pro Sekunde verarbeitet werden. „Die Firewall sichtet alle eingehenden und ausgehenden Pakete. Das kann sie ans Limit bringen“, sagt Darilion. Das Resultat: Die Firewall ist überlastet und alle anderen Datenverbindungen sind gestört – im schlimmsten Fall bricht die gesamte firmeninterne Kommunikation zusammen. Viele Firmen verlagern darum den Betrieb der Webseite zu einem externen Anbieter, vergessen aber, dass auch die Nameserver oft Ziel eines Angriffs sind. Darilion rät deshalb: „Es macht – außer für sehr große Unternehmen wie Microsoft oder Google – keinen Sinn, die Nameserver im eigenen Netzwerk zu betreiben.“ Besser sei es, den Schutz der DNS-Infrastruktur und den Betrieb der Nameserver an einen externen Anbieter auszulagern.
Auswirkungen von Attacken mit Anycast-Technologie reduzieren
Ein Anycast Service schützt die DNS-Infrastruktur von Unternehmen, da die Server weltweit verteilt und Online-Services unter der gleichen IP-Adresse verfügbar sind. Die Anfragen treffen auf eine starke Infrastruktur, das verringert die Auswirkungen eines DDoS-Angriffs. Bei dem Anycast Service RcodeZero DNS sorgen weltweit 50 Server für einen möglichst reibungslosen Datenverkehr. „Die Kapazitäten sind bis zum Faktor 50 überdimensioniert, da wir uns vor großen Angriffen absichern müssen und um Lastspitzen abfangen zu können“, informiert Darilion. Es kommt aber nicht nur auf die Anzahl der Server an, sondern es muss auch darauf geachtet werden, dass Endbenutzer zum nächsten Server geroutet werden. Netzwerkoptimierung ist anspruchsvoll, die Verkehrsflüsse können sich jederzeit ändern. „Man muss den Datenverkehr beobachten, Änderungen erkennen und dann verstehen, warum und wohin Provider die Pakete weiterleiten. Dann kann das BGP-Routing optimiert werden“, ergänzt Darilion. Die vertraglich vereinbarten Antwortzeiten auf DNS-Anfragen betragen bei RcodeZero DNS bis zu 50 Millisekunden. Der Standard liege jedoch unter 25. „In Afrika, wo das Routing nicht durch den Kontinent, sondern um den Kontinent verläuft, sind 100 Millisekunden eine gute Zeit. In Europa sind es 20 Millisekunden“, so Darilion.
Service filtert Anfragen
Cyberkriminelle nutzen bei Angriffen auf DNS-Nameserver oft Public DNS Resolver-Dienste von Cloudflare oder Google. Blockiert man diese Quellen, würde das bedeuten, dass alle legitimen Nutzer dieser Services ausgesperrt werden. „Für Angriffe auf Anwendungsebene haben wir deshalb unsere eigene Intelligenz, um den „Attack-Traffic“ herauszufiltern“, erklärt Darilion. In der Regel erledigt das unser Service automatisch, manchmal muss das Team auch manuell eingreifen. Es ist wichtig, den Datenfluss zu verstehen. „Denn wenn wir eingreifen, kostet das CPU-Leistung“, sagt Darilion.
Seit mehr als 20 Jahren gehören DDoS-Angriffe zum Arsenal krimineller Hacker. Und sie werden so schnell nicht von der Bildfläche verschwinden. Für Unternehmen und Behörden bedeutet das: Die Namensauflösung muss trotz dieser Bedrohungen sichergestellt sein. Das funktioniert am besten, wenn die Nameserver an verschiedene Betreiber ausgelagert werden. „Es gibt noch andere Gründe, die DNS-Server nicht zuhause ins eigene Schlafzimmer, sondern komplett in ein anderes Haus zu stellen“, sagt Darilion. Denn es geht bei Nameservern nicht nur um die Installation, man muss auch die Hardware laufend warten, aktualisieren und sicherstellen, dass die Software auf dem neuesten Stand ist. „Lagert man den Service aus, braucht man sich um diese Dinge keine Gedanken zu machen.“ RcodeZero DNS ist also ein Rundum-sorglos-Paket. Der Anycast Service stellt sicher, dass Ihre Online-Services auch bei einem DDoS-Angriff stabil und erreichbar bleiben.
Weitere Informationen zu RcodeZero DNS finden Sie unter https://www.rcodezero.at
kommentar field