DDoS-Schutz neu gedacht: Warum Skalierbarkeit nicht der einzige wichtige Faktor ist

Moderne DDoS-Kampagnen überlasten nicht nur die Bandbreite, sondern auch die Netzwerkinfrastruktur. Daher gewinnen nicht diejenigen, die „das größte Backbone“ haben, sondern diejenigen, die den Datenverkehr an seiner Quelle stoppen können. Imperva-Lösungen verfolgen genau diesen Ansatz: verteilte Angriffsabwehr mit minimaler Reaktionszeit und hochwertigem Scrubbing, das reale Dienste schützt – nicht nur Statistiken.

Warum der Ansatz „das größte Netzwerk“ falsch ist

DDoS-Angriffe sind ihrem Wesen nach verteilt. Sie nutzen Tausende oder sogar Millionen kompromittierter Geräte (Botnetze) in verschiedenen geografischen Regionen, um schädlichen Datenverkehr zu erzeugen. Die Logik sagt, dass der Schutz ebenfalls verteilt sein muss, wenn der Angriff verteilt ist.

Der Schlüssel zu effektivem Schutz liegt nicht nur in einer massiven zentralisierten „Röhre“ zur Traffic-Aufnahme, sondern in einem global verteilten Netzwerk von Points of Presence (PoPs), die den Datenverkehr so nah wie möglich an seiner Quelle filtern können. Das verändert das Spiel.

Vorteile eines verteilten Netzwerks

• Nähe zu den Angriffsquellen: Abfangen von Paketen, bevor sie globale Leitungen überlasten.
• Früherkennung von schädlichem Traffic: Erkennen von Flooding innerhalb von Sekunden statt Minuten – entscheidend zur Vermeidung von Ausfallzeiten.
• Isolierung und Beseitigung von „schlechtem“ Traffic: Effiziente Entfernung schädlicher Pakete ohne Beeinträchtigung legitimer Nutzer.

Auch kleine PoPs spielen eine große Rolle

Das erklärt, warum die absolute Größe eines PoP weniger wichtig ist als seine Fähigkeit, Angriffsverkehr effektiv von der Zielinfrastruktur abzuleiten. Die wahre Herausforderung besteht darin, sicherzustellen, dass beispielsweise in Johannesburg der Angriffsverkehr klar vom legitimen Kundenverkehr getrennt wird, der denselben PoP nutzt.

Wenn sich ein Schutzanbieter ausschließlich auf einige wenige große Scrubbing-Center verlässt, muss der schädliche Datenverkehr zunächst die halbe Welt durchqueren, bevor er gefiltert werden kann. Das ist ineffizient und schafft Zeitfenster für die Überlastung von Netzwerken. In solchen Fällen reicht reine Bandbreite nicht aus. Moderner Schutz verlangt eine komplexe Kombination von Technologien, die im Tandem arbeiten, um eine präzise Filterung am Netzwerkrand zu gewährleisten.

Anforderungen an eine hochwertige Filterung

• Inline-Inspektion bei Leitungsgeschwindigkeit: Analyse jedes Pakets ohne Leistungsabfall.
• Erkennung versteckter Angriffsmuster: Identifikation komplexer Layer-7- (L7) oder Slow-Rate-Angriffe innerhalb von Sekunden.
• Echtzeitreaktion: Anpassung an sich ändernde Angriffsvektoren im laufenden Betrieb.
• Schutz legitimen Traffics: Sicherstellung, dass echte Nutzer während eines Angriffs nicht beeinträchtigt werden.

Terabit-Angriffe sind selten – die meisten Bedrohungen sind komplexer

Obwohl Angriffe mit mehreren Terabit pro Sekunde Schlagzeilen machen, bleiben sie äußerst selten. Laut Analysten überschreiten nur etwa 0,1 % der Angriffe mehrere Tbps oder 1 Milliarde Pakete pro Sekunde (PPS). Die meisten Bedrohungen, denen Unternehmen täglich ausgesetzt sind, sind weitaus gezielter, komplexer und nutzen Schwachstellen auf Anwendungsebene (L7), statt einfach nur Bandbreitenüberlastung zu versuchen (L3/L4).

Sich ausschließlich auf Tbps-Metriken zu konzentrieren, ignoriert den Großteil der realen Bedrohungen. Lassen Sie sich bei der Bewertung von DDoS-Anbietern nicht von Aussagen wie „X Tbps abgewehrt“ oder „Hunderte von Tbps Kapazität“ täuschen.

Fragen Sie stattdessen: Wie verteilt ist das Netzwerk? Wie schnell kann schädlicher Traffic an seiner Quelle gestoppt werden? Wie präzise trennt das System Bots von legitimen Nutzern?

Wie Imperva Schutz jenseits der Skalierung gewährleistet

Die Lösungen von Thales (Imperva) basieren auf der Philosophie, dass Architektur, Geschwindigkeit und Präzision wichtiger sind als reine Kapazität. Imperva DDoS Protection bietet einen umfassenden Ansatz, der die in diesem Artikel beschriebenen Herausforderungen löst.

Anstatt den Traffic einfach zu absorbieren, filtert Imperva ihn am Rand seines globalen Netzwerks und schützt somit vor allen Arten von DDoS-Bedrohungen.

Wesentliche Funktionen von Imperva DDoS Protection

• Garantiertes 3-Sekunden-SLA: Imperva ist der einzige Anbieter, der die Abwehr von Angriffen jeder Art und Größe in 3 Sekunden oder weniger garantiert.
• Umfassender Schutz: Abwehr sowohl volumetrischer Angriffe (L3/L4 wie SYN-Flood oder UDP-Flood) als auch komplexer Angriffe auf Anwendungsebene (L7 wie Slowloris oder API-Angriffe).
• Abwehr am Netzwerkrand: Angriffe werden nahe ihrer Quelle gestoppt, was Überlastungen Ihrer Infrastruktur verhindert und die Leistung nicht beeinträchtigt.
• 24/7-SOC: Unterstützung durch ein Team von Sicherheitsexperten (Security Operations Center), das Bedrohungen in Echtzeit überwacht und entschärft.

Softprom ist Value Added Distributor von Thales (Imperva). Wir bieten technischen Support, tiefgreifende Expertise und Unterstützung bei der Projektumsetzung, damit Sie den maximalen Nutzen aus Ihren Sicherheitsinvestitionen ziehen.