DDoS-Abwehr: Bandbreite

Bandbreite

Wichtigster Bestandteil bei der Abwehr von Angriffen ist Bandbreite. Wenn ein Angreifer 100 Millionen Datenpakete pro Sekunde senden kann, so nutzt Ihnen das ausgeklügelste System nicht, wenn es nur 10 oder gar 1 Millionen Pakete pro Sekunde (Mpps) verarbeiten kann. Viele Server sind nur mit 100Mbps-Leitungen an das Internet angebunden. Diese können ca. 0,15 Mpps verarbeiten, haben also selbst gegen kleine Angriffe keine Chance. Große Server sind mit 1Gbps-Leitungen am Netz, schaffen aber auch nur ca. 1,5 Mpps im besten Fall. Meistens sind diese Systeme auch noch so konfiguriert, dass sie selbst aktiv zum DoS beitragen. Einmal laufen häufig interne Tabellen über (SYN-Cookies aktivieren), der Linux Route-Cache overflowed (abschalten), es werden ICMP-Typ 3 Meldungen oder TCP-Resets an gefälschte Absenderadressen geschickt, wodurch die so adressierten Maschinen dann zusätzlichen Traffic an die angegriffene Maschine erzeugen. Und das sind nur Themen auf Layer 3 und 4, die bei SYN-Floods und ähnlichen Angriffen auftauchen.

Verteilung auf viele Systeme

Richtig und wichtig ist die Verteilung von Angriffs-Traffic über viele Systeme, um so den möglichen Impact zu reduzieren. Dies kann über Anycast und/oder GeoIP-basierten DNS erfolgen. Darauf zu achten ist, dass auch das schwächste Glied in der Kette dem stärksten Ansturm gewachsen sein muss, sonst ist die Verfügbarkeit des Dienstes gefährdet. Hier ist insbesondere auf die Rolle von DNS hinzuweisen, ohne dass das “Internet” nicht funktioniert. Die Verwendung von unterdimensionierten Systemen ist dabei höchstgefährlich. Am Besten verwendet man einen Dienstleister, der Anycast DNS beherrscht und dessen Systeme auch Angriffe im über 100Gbit/s-Bereich verkraften.

Dieser Beitrag wurde unter Allgemein abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.