Schutz - DDoS-Notfallreaktion

Die in diesem Artikel beschriebenen Verfahren erfordern den Expert WEDOS.protection-Abonnementplan oder höher. Weitere Informationen finden Sie im Artikel Schutz - Abonnementplan.

In diesem Artikel erfahren Sie mehr:

DDoS-Diagnose

DDoS-Angriffe sind eine weit verbreitete Art von Cyberangriffen, bei denen versucht wird, eine Website oder Anwendung mit einer hohen Anzahl von Anfragen zu überlasten. Diese Anfragen stammen in der Regel aus verschiedenen Regionen, können aber auch von einer einzigen IP-Adresse, einem Bereich oder einem Anbieter kommen. Einige haben einen gemeinsamen UserAgent, mit dem sie effektiv gefiltert werden können.

Der erste Schritt, um angemessen auf einen laufenden DDoS-Angriff zu reagieren, besteht darin, herauszufinden, wer die Angreifer sind, und sie zu blockieren, ohne den legitimen Datenverkehr zu Ihrer Website einzuschränken. Das beste Tool für die Verkehrsanalyse ist die Grafana-Schnittstelle, die Sie gemäß dem Handbuch Protection - Grafana einrichten können.

Wenn Sie den Verdacht haben, dass Ihre Website oder Anwendung angegriffen wird, gehen Sie folgendermaßen vor:

  1. Loggen Sie sich in Ihre Grafana-Oberfläche ein ⧉.
  2. Wählen Sie im Filter Request host oben links die Domäne aus, die angegriffen wird. Ändern Sie bei Bedarf auch den Zeitbereich oben rechts auf 5 Minuten.
  3. Durchsuchen Sie die Protokolle nach verdächtigem Verhalten.
  4. Bestimmen Sie die beste Sperrmethode gemäß den nachstehenden Ratschlägen.

Im Notfall können Sie mit GeoIP schnell alle Zugriffe aus anderen Ländern oder Kontinenten blockieren und sich Zeit nehmen, den Datenverkehr zu analysieren und wirksamere Filter einzurichten.

Es gibt keine allgemein gültige Methode zur Durchführung der Protokollanalyse, aber einige allgemeine Ratschläge sind zu beachten:

  • Anomalien. In der Tabelle Anomalien werden Anfragen mit Fehlercodes aufgelistet. Dazu gehören auch blockierte Anfragen (456), die das System bereits aktiv blockiert. Sie müssen nicht gegen sie vorgehen.
  • Anfragen aus Ländern. Wenn in dieser Liste eine große Anzahl von Anfragen aus ungewöhnlichen Ländern erscheint, verwenden Sie GeoIP, um diese Länder zu blockieren, bis der Angriff nachlässt.
  • TOP10 Client-IPs. Obwohl dies bei DDoS-Angriffen nicht üblich ist, kann es vorkommen, dass Sie eine ungewöhnlich hohe Anzahl von Anfragen von einer Handvoll IPs erhalten. Sie können diese mit Filtern blockieren.
  • TOP10 UserAgents und ASN Bericht. Unter bestimmten Umständen können Angreifer einen UserAgent oder ASN gemeinsam nutzen. Sie können diese leicht filtern.
Grafana Dashboard mit markierten Bereichen von Interesse
Grafana Dashboard mit markierten Bereichen von Interesse

Wenn Sie die Angriffsquelle nicht ausfindig machen und herausfiltern können, blockieren Sie den Angriff mit einer WAF.

Wenn es DDoS-Angriffe nicht schaffen, ein System zum Absturz zu bringen, ziehen sie sich in der Regel innerhalb weniger Minuten zurück. Beobachten Sie die Situation weiter, und wenn Sie keinen bösartigen Datenverkehr mehr feststellen, versuchen Sie, die Notfallmaßnahmen wieder auszuschalten.

Notfall-Blockierung

Wenn die automatischen Filter zu lange brauchen, um einen DDoS-Angriff (oder einen anderen ähnlichen Angriff) auf Ihre Website oder Anwendung zu verhindern, empfehlen wir die Einrichtung eines solchen Filters:

  • GeoIP eignet sich am besten, um den Verkehr aus Ihrem Land oder Kontinent schnell zu isolieren oder den Verkehr aus angreifenden Regionen zu blockieren.
  • Filter blockieren bestimmte IPs, ASNs oder UserAgents.
  • Die Web Application Firewall (WAF) ist in der Lage, den Datenverkehr auf der Grundlage strengerer Regeln und mit einem höheren Maß an Paranoia zu filtern.

GeoIP-Blockierung

Um GeoIP einzurichten, gehen Sie folgendermaßen vor:

  1. Loggen Sie sich in das WEDOS.global Admin-Panel ein ⧉.
  2. Wählen Sie die angegriffene Domäne aus.
  3. Wählen Sie im linken Menü GeoIP.
  4. Aktivieren Sie Benutzerdefinierte GeoIP.
  5. Richten Sie GeoIP entsprechend Ihren Anforderungen ein (siehe unten) und speichern Sie.

In der Regel werden Sie GeoIP-Blockierung verwenden, um:

  • die Website oder Anwendung nur für Nutzer in einem bestimmten Gebiet verfügbar machen indem Sie die folgenden Schritte ausführen:
    1. Wählen Sie im Abschnitt Einstellungen für den Zugriff das Verhalten Zugriff zulassen und speichern Sie.
    2. Wählen Sie die verfügbare(n) Zielregion(en) in der GeoIP-Karte aus. Der Verkehr aus nicht ausgewählten (blauen) Regionen wird blockiert.
    3. Klicken Sie in der Liste der ausgewählten Regionen auf die Schaltfläche Ausgewählte Regionen speichern.
  • Verkehr aus Ländern blockieren mit einer hohen Anzahl oder einem hohen Anteil nicht blockierter problematischer Anfragen, indem Sie die folgenden Schritte ausführen:
    1. Wählen Sie im Abschnitt Einstellungen für den Zugriff das Verhalten Zugriff blockieren und speichern Sie.
    2. Wählen Sie die verfügbare(n) Zielregion(en) in der GeoIP-Karte aus. Der Verkehr aus nicht ausgewählten (blauen) Regionen wird zugelassen.
    3. Klicken Sie in der Liste der ausgewählten Regionen auf die Schaltfläche Ausgewählte Regionen speichern.
Beispielhafte Zugangsbeschränkungen für die Benelux-Länder und Deutschland, Verkehr aus anderen Ländern wird blockiert
Beispielhafte Zugangsbeschränkungen für die Benelux-Länder und Deutschland, Verkehr aus anderen Ländern wird blockiert

Weitere Informationen zu GeoIP finden Sie in dem Artikel Schutz - Filter, GeoIP, WAF.

Verkehrsfilterung

Die verfügbaren Verkehrsfilter sind:

  • IP. Sperrt alle Anfragen von einer bestimmten IP-Adresse oder einem bestimmten Bereich.
  • ASN. Blockiert alle Anfragen von einer bestimmten ASN (Autonomous System Number, identifiziert in der Regel einen Internetdienstanbieter).
  • URL. Blockiert den gesamten Datenverkehr zu einer bestimmten URL, unabhängig von der Quelle. Verwenden Sie dies, wenn der Angriff auf eine bestimmte Ressource abzielt.
  • UserAgent. Blockiert Verkehr auf der Grundlage von UserAgent-Zeichenfolgen.

Gehen Sie folgendermaßen vor, um IP-, ASN-, URL- oder UserAgent-Filter einzurichten:

  1. Loggen Sie sich in das WEDOS.global Admin-Panel ein ⧉.
  2. Wählen Sie die angegriffene Domäne aus.
  3. Wählen Sie im linken Menü Filter.
  4. Aktivieren Sie alle benutzerdefinierten Filter, die Sie verwenden möchten.
  5. Fügen Sie problematische IPs, ASNs und UserAgents hinzu.
Hinzufügen einer beispielhaften verdächtigen Adresse zum IP-Filter
Hinzufügen einer beispielhaften verdächtigen Adresse zum IP-Filter

Weitere Informationen zu Filtern finden Sie in dem Artikel Schutz - Filter, GeoIP, WAF.

WAF-Filterung

Wenn es keinen eindeutigen Hinweis auf die Quelle oder das Ziel des bösartigen Datenverkehrs gibt, raten wir Ihnen, die WAF-Paranoia-Stufe für die Dauer des Angriffs zu erhöhen.

Gehen Sie folgendermaßen vor, um die WAF-Paranoia-Stufe zu ändern:

  1. Loggen Sie sich in das WEDOS.global Admin-Panel ein ⧉.
  2. Wählen Sie die angegriffene Domäne aus.
  3. Wählen Sie im linken Menü WAF.
  4. Aktivieren Sie die benutzerdefinierte WAF.
  5. Wählen Sie im Abschnitt Paranoia-Stufe die Stufe 2.
Einstellung der WAF-Paranoia-Stufe auf 2
Einstellung der WAF-Paranoia-Stufe auf 2

Weitere Informationen über die Web Application Firewall finden Sie im Artikel Schutz - Filter, GeoIP, WAF.

FAQ

Warum sind die Optionen in diesem Artikel für mich nicht verfügbar?

Die Optionen sind nur für Benutzer mit dem Abonnementplan Expert oder höher verfügbar. Weitere Informationen finden Sie im Artikel Schutz - Abonnementplan.

Wie lange dauert ein DDoS-Angriff in der Regel?

Diese Art von Angriffen ist in der Regel recht kostspielig, so dass die Angreifer, wenn es ihnen nicht gelingt, das Ziel innerhalb der ersten paar Minuten auszuschalten, oft abbrechen und sich zurückziehen.

War dies hilfreich?

Vielen Dank für Ihr Feedback!
Allgemeine Selektoren
Nur exakte Treffer
Suche im Titel
Suche im Inhalt
Post Type Selectors
Artikel TOC
Kategorien durchsuchen