Schutz vor DDoS-Angriffen

Zeitunabhängige Abwehr von DDoS-Angriffen für dauerhafte Performance und Verfügbarkeit

Die Häufigkeit und Heftigkeit von DDoS(Distributed Denial of Service)-Angriffen nimmt zu. Durch Ausnutzung von Millionen von unsicheren IoT(Internet of Things)-Geräten ist es jetzt leichter und wirksamer als je zuvor, Botnets für hochgradig verteilte volumetrische Angriffe zu erstellen. Aber die Angriffe werden nicht nur immer umfangreicher, sie richten sich nun auch eher gegen die Anwendungsschicht (7. Schicht) anstatt gegen die Netzwerk- oder Übertragungsschicht. Angriffe gegen die Anwendungsschicht sind viel raffinierter. Meist benötigen sie weniger Ressourcen, um Websites oder Anwendungen lahmzulegen und sie können den Betrieb noch wirkungsvoller stören.

DDoS-Angriffe stören den normalen Geschäftsbetrieb, indem sie die Performance und die Verfügbarkeit von Websites und Anwendungen verschlechtern. Manchmal legen sie sie sogar vollständig lahm. Im Durchschnitt verursachen durch Infrastrukturausfälle entstandene Ausfallzeiten Kosten in Höhe von $100.000 pro Stunde.Solche Angriffe führen schnell zur Abwanderung von Kunden, einer Abwertung der Marke und entgangenen Umsätzen.

Websites und Anwendungen benötigen die Stabilität und Intelligenz eines skalierbaren Netzwerks, um die umfangreichsten und neuesten Angriffe abwehren zu können.Der Schutz vor Bedrohungen sollte die Performance nicht durch sicherheitsinduzierte Latenzen beeinträchtigen. Außerdem sollten Sicherheitsservices leicht zu konfigurieren sein, damit es nicht zu Fehlkonfigurationen kommt, die neue Schwachstellen hervorrufen.

Defend against the largest ddos attack icon

Schutz vor den umfangreichsten Angriffen

Die Kapazität des Cloudflare-Netzwerks ist 15x größer als der größte bislang verzeichnete DDoS-Angriff.Mit seiner Kapazität von 15 Tbps kann es modernen verteilten Angriffen entgegenwirken, auch solchen, die auf die DNS-Infrastruktur abzielen.

Shared Network Intelligence icon

Freigegebene Netzwerkdaten

Mit jeder neuen Eigenschaft wird das Cloudflare-Netzwerk intelligenter. Die IP-Reputationsdatenbank von Cloudflare erkennt und blockiert neue und weiterentwickelte Bedrohungen bei allen 7 Millionen Netzwerk-Properties.

No Performance Tradeoffs icon

Keine Kompromisse bei der Performance

Integrieren Sie die in der Cloudflare-Lösung enthaltenen Performance Services, darunter CDN, Smart Routing und die aktuellen Webstandards, und eliminieren Sie so sicherheitsinduzierte Latenzen.

Verbreitete DDoS-Angriffsmuster

ddos attack dns flood

DNS-Flood

DNS-Flood-Angriffe unterbrechen die DNS-Auflösung und sorgen so dafür, dass die Performance einer Website, API oder Anwendung nicht mehr ausreicht oder diese sogar gar nicht mehr verfügbar sind.

ddos attacked with dns flood

UDP-Amplifikation (Schicht 3 und 4)

Angreifer nutzen die Funktionen offener DNS- oder NTP-Resolver, um einen Zielserver oder ein Zielnetzwerk mit verstärktem Anforderungsdatenverkehr zu überlasten, bei dem die Nutzlast größer ist als die ursprüngliche Anforderung.

ddos attacked http flood

HTTP-Flood (Schicht 7)

HTTP-Flood-Angriffe erzeugen große Mengen von HTTP-, GET- oder POST-Anforderungen aus verschiedenen Quellen. Sie zielen auf die Anwendungsebene ab und sorgen für eine Serviceverschlechterung oder sogar dafür, dass der Dienst nicht mehr verfügbar ist.

ddos attack http flood

Mehrstufige Sicherheitslösung

Bei dem mehrstufigen Sicherheitsansatz von Cloudflare sind mehrere Sicherheitsfunktionen in einem Dienst zusammengefasst. Er verhindert durch illegitimen Datenverkehr verursachte Störungen, lässt aber legitimen Datenverkehr passieren. So bleiben Websites, Anwendungen und APIs hochgradig verfügbar und leistungsfähig.

Layered DDoS attack Protection Layered DDoS Protection

Wichtigste Ergebnisse

226.500.000

Angriffe wurden zwischen August 2015 und November 2016 blockiert. Das sind 500.000 Angriffe pro Tag und nicht einer davon war erfolgreich.

95%

Bandbreite wurde pro Monat eingespart.

$250.000

Fallstudie lesen

„Dank Cloudflare konnten wir die Wahlkampf-Website von Präsident Trump für einen Bruchteil der Kosten betreiben, die andere Kandidaten aufwenden mussten. Dennoch waren der notwendige Schutz und die notwendige Sicherheit gewährleistet.“

Brad Parscale

President von Giles-Parscale

Digital Director im Trump-Wahlkampf

Pauschalpreise

Alle Tarife von Cloudflare beinhalten die unbegrenzte und zeitlich unabhängige Abwehr von DDoS(Denial-of-Service)-Angriffen unabhängig von ihrem Umfang ohne zusätzliche Kosten. Kunden sollten nicht für Datenverkehrsspitzen bestraft werden, die durch DDoS-Angriffe entstehen. Der DDoS-Schutz von Cloudflare sorgt dafür, dass alle Internet-Properties online bleiben. Gleichzeitig bleiben die Infrastrukturkosten vorhersehbar.

Flat price DDOS protection

Abwehrmaßnahmen bei historischen Angriffen

Die Ingenieure von Cloudflare haben bereits einige der größten Angriffe der Geschichte miterlebt. Mehr darüber erfahren Sie in unserem Entwicklerblog.

400Gbps:Ein Winter voller schwerer Layer 3 DDoS-Attacken

Im Winter 2016 konnte Cloudflare den bisher größten verteilten Layer-3-Angriff abschwächen. Er wurde nicht nur gestoppt, sondern auch genau erfasst und analysiert. Weitere Informationen

Details hinter einem 400Gbps NTP-Amplification-Angriff

Verteilte Angriffe nehmen alle Formen und Gestalten an. Bei diesem 400-Gbit/s-Amplification-Angriff nutzte der Angreifer 4.529 NTP-Server, um einen Angriff von einem Quellserver mit lediglich 87 Mbit/s zu verstärken.
Weitere Informationen

Die DDoS-Attacke, die beinahe das Internet zerstört hat

Cloudflare bekämpft bereits seit mehr als 7 Jahren verbreitete Angriffe. Der 120-Gbit/s-Angriff auf Spamhaus von 2013 gilt als sehr groß. Cloudflare konnte dafür sorgen, dass die Website dennoch online blieb. Weitere Informationen

Weitere Sicherheitslösungen von Cloudflare

prevent customer data breach diagram

Missbrauch von Kundendaten vorbeugen

Verhindern Sie, dass Angreifer Zugang zu sensiblen Kundendaten wie Anmeldeinformationen, Kreditkartendaten und anderen Informationen, anhand derer Personen identifiziert werden können, erlangen.

block malicious bot abuse diagram

Bösartigen Missbrauch durch Bots verhindern

Verhindern Sie, dass missbräuchliche Bots durch Content Scraping, betrügerische Zugriffe und die Übernahme von Konten Internet-Properties beschädigen.

Über 7,000,000 Domains verlassen sich auf uns

Cloudflare-Funktionen

Die Sicherheits- und Performance-Services von Cloudflare greifen ineinander, um die Latenz von Websites, mobilen Anwendungen und APIs umfassend zu reduzieren. Gleichzeitig bieten sie Schutz vor DDoS-Angriffen, missbräuchlichen Bots und dem Missbrauch von Daten.

Performance

Die Cloudflare Performance Services steigern die Konversionen, vermindern die Kundenabwanderung und verbessern das Besuchererlebnis, indem sie die Performance im Web und auf mobilen Geräten verbessern und die Anwendungen verfügbar halten.

  • Content Delivery Network (CDN)

    Mit 151 Rechenzentren in 58 Ländern speichert das Anycast-CDN von Cloudflare statische Inhalte am Rand des Netzwerks zwischen und reduziert die Latenz, indem es Assets geografisch so nah wie möglich beim Besucher bereitstellt.
  • Website-Optimierungen

    Cloudflare beinhaltet eine Suite mit Weboptimierungen, um die Performance von Internet-Assets zu verbessern. Zu diesen Optimierungen zählen die aktuellen Webstandards, z. B. HTTP/2 und TLS 1.3, sowie eigene Verbesserungen für Bilder und Besucher mit Mobilgeräten.
  • DNS

    Cloudflare ist einer der schnellsten Anbieter von verwalteten DNS-Lösungen weltweit und routet mehr als 38 % des gesamten globalen DNS-Datenverkehrs. Cloudflare verfügt über verschiedene Möglichkeiten, um die maximale Performance für Online-Assets zu erreichen.
  • Lastenausgleich

    Die Cloudflare-Lastverteilung bietet Lastverteilung, geografisch bedingtes Routing, Überwachung und Failover für Single-, Hybrid-Cloud- und Multi-Cloud-Umgebungen und verbessert so die Performance und Verfügbarkeit.
  • Argo Smart Routing

    Argo Smart Routing verbessert die Performance von Internet-Assets um durchschnittlich 35 %, indem Besucher im privaten Netzwerk von Cloudflare über die am wenigsten belasteten und verlässlichsten Pfade geleitet werden.
  • Railgun

    Railgun komprimiert zuvor nicht zwischenspeicherbare Web-Objekte mit einer Rate von bis zu 99,6 %. Hierbei werden ähnliche Techniken wie beim Komprimieren qualitativ hochwertiger Videos genutzt. Daraus ergibt sich eine zusätzliche Performance-Steigerung von durchschnittlich 200 %.
  • Stream

    Cloudflare Stream vereinfacht das Streamen von Videos durch Datenspeicherung, Mediencodierung, Einbettung und Wiedergabe von Inhalten, regionale Bereitstellung und Analysen.
  • Workers

    Mit Cloudflare Workers können Entwickler JavaScript Service-Worker in weltweit 151 Rechenzentren von Cloudflare einsetzen.
  • Mobile SDK

    Das Mobile SDK von Cloudflare liefert Einblicke in die Performance und Ladezeiten von Anwendungen in den Netzwerken von beliebigen globalen Anbietern.

Sicherheit

Cloudflare Security Services verringern das Risiko von Kundenverlust, abnehmenden Gewinnen und Beschädigung der Marke, indem sie vor DDoS-Angriffen, missbräuchlichen Bots und dem Missbrauch von Daten schützen.

  • Anycast-Netzwerk

    Mit 151 Rechenzentren in 58 Ländern und 15 Tbps Kapazität absorbiert das Anycast-Netzwerk von Cloudflare den Datenverkehr verteilter Angriffe, indem es ihn geografisch verteilt, und sorgt gleichzeitig dafür, dass die Internet-Properties verfügbar und leistungsfähig bleiben.
  • DNSSEC

    DNSSEC ist die nicht manipulierbare Anrufer-ID im Internet. Es gewährleistet, dass der Datenverkehr einer Webanwendung sicher auf die richtigen Server geroutet wird, damit die Website-Besucher nicht von verborgenen „Man-in-the-Middle“-Angreifern abgefangen werden können.
  • Web Application Firewall (WAF)

    Die unternehmensgerechte Web Application Firewall (WAF) von Cloudflare erkennt und blockiert verbreitete Schwachstellen in der Anwendungsschicht am Rand des Netzwerks. Dazu nutzt sie die OWASP Top 10 sowie anwendungsspezifische und benutzerdefinierte Regelsätze.
  • Ratenbegrenzung

    Die Ratenbegrenzung schützt kritische Ressourcen durch eine feinkörnige Kontrolle, mit der Besucher mit verdächtigen Anforderungsraten blockiert oder zugelassen werden können.
  • SSL/TLS

    Die TLS(Transport Security Layer)-Verschlüsselung ermöglicht HTTPS-Verbindungen zwischen Besuchern und den Ursprungsservern und verhindert Man-in-the-Middle-Angriffe, Packet Sniffing, Vertrauenswarnungen von Webbrowsern uvm.
  • Sichere Registrierung

    Cloudflare ist ein von der ICANN akkreditierter Registerführer, der Organisationen durch eine nicht automatisierte Online- oder Offline-Verifizierung von Änderungen am Registerführerkonto vor Domain-Hijacking schützt.
  • Orbit

    Cloudflare Orbit löst Probleme im Zusammenhang mit der Sicherheit von IoT-Geräten auf der Netzwerkebene.
  • Argo Tunnel

    Cloudflare erstellt einen verschlüsselten Tunnel zwischen dem nächstgelegenen Rechenzentrum und dem Ursprungsserver der Anwendung, ohne einen öffentlichen eingehenden Port zu öffnen.
  • Workers

    Mit Cloudflare Workers können Entwickler JavaScript Service-Worker in weltweit 151 Rechenzentren von Cloudflare einsetzen.
  • Zugriff

    Sichern, authentifizieren und überwachen Sie den Benutzerzugriff auf alle Domains, Anwendungen oder Pfade bei Cloudflare.
  • Spectrum

    Spectrum schützt TCP-Anwendungen und Ports vor volumetrischen DDoS-Angriffen und Datendiebstahl, indem es Datenverkehr, der nicht über das Internet übertragen wird, als Proxy durch das Anycast-Netzwerk von Cloudflare leitet.

Schutz vor allen Angriffen

Da Cloudflare als Proxy für Ihren gesamten Netzwerkverkehr dient, können wir Sie vor jeder Art von Distributed-Denial-of-Service-Angriffen schützen, einschließlich:

Layer 3/4

Die meisten Angriffe zielen auf die Übertragungs- und Netzwerkschichten eines Kommunikationssystems ab. Diese Schichten repräsentieren Layer 3 und 4 des OSI-Schichtenmodells. Die so genannte Transportschicht spezifiziert das Protokoll (zB TCP oder UDP) mit dem zwei Hosts in einem Netzwerk miteinander kommunizieren. Angriffe auf die Schichten 3 und 4 sollen die Netzwerkschnittstelle mit Angriffsverkehr überschwemmen, um seine Ressourcen zu überfordern und die Fähigkeit zu verweigern auf legitimen Datenverkehr zu reagieren. Insbesondere zielen Angriffe dieser Art es darauf ab, die Switch-Kapazität zu sättigen, oder eine Netzwerkkarte oder die CPU-Fähigkeit des Servers zur Abwehr des Angriffs zu überfordern.

Layer 3 und 4 Attacken können mit einer On-Premise-Lösung kaum abgeschwächt werden. Wenn ein Angreifer mehr Verkehr sendet als eine Netzwerkverbindung verarbeiten kann, werden auch keine zusätzlichen Hardware-Ressourcen dabei helfen, einen solchen Angriff zu mildern. Wenn Sie beispielsweise einen Router mit einem 10-Gbit/s-Port verwenden und ein Angreifer Ihnen ein Angriffspaket mit 11 Gbit/s sendet, können Sie noch so intelligente Software oder Hardware verwenden, Sie können den Angriff nicht aufhalten, wenn die Netzwerkverbindung vollständig ausgelastet ist.

Sehr große Layer 3/4 Angriffe stammen fast immer aus einer Reihe von Quellen. Diese vielen Quellen senden jeweils Angriffsverkehr an eine einzige Internet-Adresse und erzeugen somit eine Flutwelle, mit denen das Angriffsziel nicht umgehen kann. Der Angriff wird also verteilt. Die Angriffsverkehr-Quelle kann eine Gruppe von Leuten sein die miteinander arbeiten, ein Botnet von kompromittierten PCs, ein Botnet von kompromittierten Servern, falsch konfigurierte DNS-Resolver oder sogar Heim-Internet-Router mit schwachen Passwörtern.

Da es dem Angreifer einer 3/4 Layer Attacke egal ist, ob er eine Antwort auf seine Anfragen erhält, muss das Angriffspaket nicht genau oder richtig formatiert sein. Der Angreifer wird regelmäßig alle Informationen in den Angriffspaketen manipulieren, einschließlich der Quell-IP-Adresse, um es so aussehen zu lassen, als wie wenn der Angriff von einer praktisch unbegrenzten Anzahl von Quellen kommen würde. Da Paketdaten vollständig randomisiert werden können, werden selbst Techniken wie Ingress-Filter praktisch nutzlos.

Mit Cloudflare wird jeglicher Angriffsdatenverkehr, der sonst direkt auf Ihren Server treffen würde, automatisch an das globale Anycast-Netzwerk von Cloudflare geroutet. Sobald der Angriffsverkehr verlagert wurde, nutzen wir die globale Kapazität unseres Netzwerks und die Vielzahl unserer Server um die Flut des Angriffsverkehr am Networkedge zu absorbieren. Das bedeutet, dass Cloudflare jedes einzelne Angriffpaket einer Layer 3/4 Attacke davon abhalten kann, jemals eine Seite zu erreichen, die unter dem Schutz von Cloudflare steht.

DNS-Amplification-Angriffe

DNS-Amplification-Angriffe sind eine Form von DRDoS, die auf dem Vormarsch sind und zur größten Quelle der Layer 3/4-Angriffe geworden sind. Cloudflare schwächt regelmäßig Angriffe ab, die 100 Gbit/s überschreiten, und hat vor Kurzem einen Kunden vor einem Angriff mit mehr als 300 Gbit/s geschützt. Die New York Times bezeichnete ihn als den „größten öffentlich bekannt gewordenen DDoS-Angriff in der Geschichte des Internets“.

Die Anfragen der Angreifer machen nur einen Bruchteil der Größe der Antworten aus, so dass der Angreifer den Angriff zu einem Vielfachen der Größe der Bandbreiten-Ressourcen die er selbst kontrolliert erweitern kann. Der DNS-Amplifikationsangriff ohne Cloudflare Ein Angreifer sammelt Ressourcen wie Botnets und imitiert die IP-Adresse des Ziels. Die Anforderungen der Angreifer selbst machen nur einen Bruchteil der Antworten aus. So kann der Angreifer seinen Angriff um ein Vielfaches der Bandbreitenressourcen unter seiner eigenen Kontrolle verstärken.

DNS ist eine omnipräsente Internet-Plattform, die diese Kriterien erfüllt, und ist damit zur größten Quelle von Amplifikationsangriffen geworden.

Zum Beispiel können Sie die folgende (winzige) Anfrage senden (wobei x.x.x.x die IP eines Open-DNS-Resolvers ist):Die Ressourcen senden daraufhin eine Flut von Antworten an das Ziel und legen es so lahm.

Unprotected DNS reflection attack

DNS-Reflection-Angriffe mit Cloudflare

Zum Beispiel können Sie die folgende (winzige) Anfrage senden (wobei x.x.x.x die IP eines Open-DNS-Resolvers ist):Die Ressourcen senden daraufhin eine Flut von Antworten an das Ziel, werden aber regional von den Rechenzentren von Cloudflare blockiert. Legitimer Datenverkehr erreicht die Web-Property weiterhin.

DNS reflection attack protection

Es gibt zwei Kriterien für Amplification-Angriffe:1.) Eine Abfrage kann von einer gefälschten Quelladresse gesendet werden (z. B. über ein protokollartiges ICMP oder UDP, das keinen Handshake erfordert) und 2.) die Antwort auf die Abfrage ist deutlich größer als die Abfrage selbst. Das DNS ist eine grundlegende, universelle Internetplattform, die diese Kriterien erfüllt. Daher ist es mittlerweile zur wichtigsten Quelle von Amplification-Angriffen geworden.

DNS-Abfragen werden in der Regel über UDP übertragen. Das bedeutet, dass es sich wie bei ICMP-Abfragen, die bei einem SMURF-Angriff (siehe unten) verwendet werden, um Fire-and-Forget-Abfragen handelt. Dementsprechend kann das Quellattribut einer DNS-Abfrage gefälscht sein. In diesem Fall hat der Empfänger keine Möglichkeit, es vor einer Antwort auf seine Richtigkeit zu überprüfen. Das DNS ist auch in der Lage, Antworten zu generieren, die weit größer sind als die Abfrage. Sie können beispielsweise folgende (winzige) Abfrage versenden (wobei x.x.x.x die IP-Adresse eines offenen DNS-Resolvers darstellt):

dig ANY isc.org @x.x.x.x +edns=0

Und die folgende gigantische Antwort erhalten:

; <<>> DiG 9.7.3 <<>> ANY isc.org @x.x.x.x
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5147
;; flags: qr rd ra; QUERY: 1, ANSWER: 27, AUTHORITY: 4, ADDITIONAL: 5
;; QUESTION SECTION:
;isc.org. IN ANY
;; ANSWER SECTION:
isc.org. 4084 IN SOA ns-int.isc.org. hostmaster.isc.org. 2012102700 7200 3600 24796800 3600
isc.org. 4084 IN A 149.20.64.42
isc.org. 4084 IN MX 10 mx.pao1.isc.org.
isc.org. 4084 IN MX 10 mx.ams1.isc.org.
isc.org. 4084 IN TXT "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
isc.org. 4084 IN TXT "$Id: isc.org,v 1.1724 2012-10-23 00:36:09 bind Exp $"
isc.org. 4084 IN AAAA 2001:4f8:0:2::d
isc.org. 4084 IN NAPTR 20 0 "S" "SIP+D2U" "" _sip._udp.isc.org.
isc.org. 484 IN NSEC _kerberos.isc.org. A NS SOA MX TXT AAAA NAPTR RRSIG NSEC DNSKEY SPF
isc.org. 4084 IN DNSKEY 256 3 5 BQEAAAAB2F1v2HWzCCE9vNsKfk0K8vd4EBwizNT9KO6WYXj0oxEL4eOJ aXbax/BzPFx+3qO8B8pu8E/JjkWH0oaYz4guUyTVmT5Eelg44Vb1kssy q8W27oQ+9qNiP8Jv6zdOj0uCB/N0fxfVL3371xbednFqoECfSFDZa6Hw jU1qzveSsW0=
isc.org. 4084 IN DNSKEY 257 3 5 BEAAAAOhHQDBrhQbtphgq2wQUpEQ5t4DtUHxoMVFu2hWLDMvoOMRXjGr hhCeFvAZih7yJHf8ZGfW6hd38hXG/xylYCO6Krpbdojwx8YMXLA5/kA+ u50WIL8ZR1R6KTbsYVMf/Qx5RiNbPClw+vT+U8eXEJmO20jIS1ULgqy3 47cBB1zMnnz/4LJpA0da9CbKj3A254T515sNIMcwsB8/2+2E63/zZrQz Bkj0BrN/9Bexjpiks3jRhZatEsXn3dTy47R09Uix5WcJt+xzqZ7+ysyL KOOedS39Z7SDmsn2eA0FKtQpwA6LXeG2w+jxmw3oA8lVUgEf/rzeC/bB yBNsO70aEFTd
isc.org. 4084 IN SPF "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
isc.org. 484 IN RRSIG NS 5 2 7200 20121125230752 20121026230752 4442 isc.org. oFeNy69Pn+/JnnltGPUZQnYzo1YGglMhS/SZKnlgyMbz+tT2r/2v+X1j AkUl9GRW9JAZU+x0oEj5oNAkRiQqK+D6DC+PGdM2/JHa0X41LnMIE2NX UHDAKMmbqk529fUy3MvA/ZwR9FXurcfYQ5fnpEEaawNS0bKxomw48dcp Aco=
isc.org. 484 IN RRSIG SOA 5 2 7200 20121125230752 20121026230752 4442 isc.org. S+DLHzE/8WQbnSl70geMYoKvGlIuKARVlxmssce+MX6DO/J1xdK9xGac XCuAhRpTMKElKq2dIhKp8vnS2e+JTZLrGl4q/bnrrmhQ9eBS7IFmrQ6s 0cKEEyuijumOPlKCCN9QX7ds4siiTIrEOGhCaamEgRJqVxqCsg1dBUrR hKk=
isc.org. 484 IN RRSIG MX 5 2 7200 20121125230752 20121026230752 4442 isc.org. VFqFWRPyulIT8VsIdXKMpMRJTYpdggoGgOjKJzKJs/6ZrxmbJtmAxgEu /rkwD6Q9JwsUCepNC74EYxzXFvDaNnKp/Qdmt2139h/xoZsw0JVA4Z+b zNQ3kNiDjdV6zl6ELtCVDqj3SiWDZhYB/CR9pNno1FAF2joIjYSwiwbS Lcw=
isc.org. 484 IN RRSIG TXT 5 2 7200 20121125230752 20121026230752 4442 isc.org. Ojj8YCZf3jYL9eO8w4Tl9HjWKP3CKXQRFed8s9xeh5TR3KI3tQTKsSeI JRQaCXkADiRwHt0j7VaJ3xUHa5LCkzetcVgJNPmhovVa1w87Hz4DU6q9 k9bbshvbYtxOF8xny/FCiR5c6NVeLmvvu4xeOqSwIpoo2zvIEfFP9deR UhA=
isc.org. 484 IN RRSIG AAAA 5 2 7200 20121125230752 20121026230752 4442 isc.org. hutAcro0NBMvKU/m+2lF8sgIYyIVWORTp/utIn8KsF1WOwwM2QMGa5C9 /rH/ZQBQgN46ZMmiEm4LxH6mtaKxMsBGZwgzUEdfsvVtr+fS5NUoA1rF wg92eBbInNdCvT0if8m1Sldx5/hSqKn8EAscKfg5BMQp5YDFsllsTauA 8Y4=
isc.org. 484 IN RRSIG NAPTR 5 2 7200 20121125230752 20121026230752 4442 isc.org. ZD14qEHR7jVXn5uJUn6XR9Lvt5Pa7YTEW94hNAn9Lm3Tlnkg11AeZiOU 3woQ1pg+esCQepKCiBlplPLcag3LHlQ19OdACrHGUzzM+rnHY50Rn/H4 XQTqUWHBF2Cs0CvfqRxLvAl5AY6P2bb/iUQ6hV8Go0OFvmMEkJOnxPPw 5i4=
isc.org. 484 IN RRSIG NSEC 5 2 3600 20121125230752 20121026230752 4442 isc.org. rY1hqZAryM045vv3bMY0wgJhxHJQofkXLeRLk20LaU1mVTyu7uair7jb MwDVCVhxF7gfRdgu8x7LPSvJKUl6sn731Y80CnGwszXBp6tVpgw6oOcr Pi0rsnzC6lIarXLwNBFmLZg2Aza6SSirzOPObnmK6PLQCdmaVAPrVJQs FHY=
isc.org. 484 IN RRSIG DNSKEY 5 2 7200 20121125230126 20121026230126 4442 isc.org. i0S2MFqvHB3wOhv2IPozE/IQABM/eDDCV2D7dJ3AuOwi1A3sbYQ29XUd BK82+mxxsET2U6hv64crpbGTNJP3OsMxNOAFA0QYphoMnt0jg3OYg+AC L2j92kx8ZdEhxKiE6pm+cFVBHLLLmXGKLDaVnffLv1GQIl5YrIyy4jiw h0A=
isc.org. 484 IN RRSIG DNSKEY 5 2 7200 20121125230126 20121026230126 12892 isc.org. j1kgWw+wFFw01E2z2kXq+biTG1rrnG1XoP17pIOToZHElgpy7F6kEgyj fN6e2C+gvXxOAABQ+qr76o+P+ZUHrLUEI0ewtC3v4HziMEl0Z2/NE0MH qAEdmEemezKn9O1EAOC7gZ4nU5psmuYlqxcCkUDbW0qhLd+u/8+d6L1S nlrD/vEi4R1SLl2bD5VBtaxczOz+2BEQLveUt/UusS1qhYcFjdCYbHqF JGQziTJv9ssbEDHT7COc05gG+A1Av5tNN5ag7QHWa0VE+Ux0nH7JUy0N ch1kVecPbXJVHRF97CEH5wCDEgcFKAyyhaXXh02fqBGfON8R5mIcgO/F DRdXjA==
isc.org. 484 IN RRSIG SPF 5 2 7200 20121125230752 20121026230752 4442 isc.org. IB/bo9HPjr6aZqPRkzf9bXyK8TpBFj3HNQloqhrguMSBfcMfmJqHxKyD ZoLKZkQk9kPeztau6hj2YnyBoTd0zIVJ5fVSqJPuNqxwm2h9HMs140r3 9HmbnkO7Fe+Lu5AD0s6+E9qayi3wOOwunBgUkkFsC8BjiiGrRKcY8GhC kak=
isc.org. 484 IN RRSIG A 5 2 7200 20121125230752 20121026230752 4442 isc.org. ViS+qg95DibkkZ5kbL8vCBpRUqI2/M9UwthPVCXl8ciglLftiMC9WUzq Ul3FBbri5CKD/YNXqyvjxyvmZfkQLDUmffjDB+ZGqBxSpG8j1fDwK6n1 hWbKf7QSe4LuJZyEgXFEkP16CmVyZCTITUh2TNDmRgsoxrvrOqOePWhp 8+E=
isc.org. 4084 IN NS ns.isc.afilias-nst.info.
isc.org. 4084 IN NS ams.sns-pb.isc.org.
isc.org. 4084 IN NS ord.sns-pb.isc.org.
isc.org. 4084 IN NS sfba.sns-pb.isc.org.
;; AUTHORITY SECTION:
isc.org. 4084 IN NS ns.isc.afilias-nst.info.
isc.org. 4084 IN NS ams.sns-pb.isc.org.
isc.org. 4084 IN NS ord.sns-pb.isc.org.
isc.org. 4084 IN NS sfba.sns-pb.isc.org.
;; ADDITIONAL SECTION:
mx.ams1.isc.org. 484 IN A 199.6.1.65
mx.ams1.isc.org. 484 IN AAAA 2001:500:60::65
mx.pao1.isc.org. 484 IN A 149.20.64.53
mx.pao1.isc.org. 484 IN AAAA 2001:4f8:0:2::2b
_sip._udp.isc.org. 4084 IN SRV 0 1 5060 asterisk.isc.org.
;; Query time: 176 msec
;; SERVER: x.x.x.x#53(x.x.x.x)
;; WHEN: Tue Oct 30 01:14:32 2012
;; MSG SIZE rcvd: 3223

Hier handelt es sich um eine 64-Byte-Abfrage, die zu einer 3.223-Byte-Antwort geführt hat. Die Angreifer können also ihre Attacke nahezu 50-fach verstärken.

Cloudflares Anycast-Netzwerk wurde speziell dazu entworfen, enorme Layer 3/4 Attacken aufzuhalten. Durch die Verwendung von Anycast sind wir dazu in der Lage, für jedes unserer 151 Rechenzentren weltweit die gleiche IP-Adresse anzugeben. Das Netzwerk sendet Anfragen an die nächstgelegene Einrichtung. Unter normalen Umständen hilft uns das sicherzustellen, dass Ihre Website-Nutzer automatisch zum nächstgelegenen Rechenzentrum in unserem Netzwerk geleitet werden, um die beste Leistung zu gewährleisten. Im Falle eines Angriffs verteilt Anycast den Angriffsdatenverkehr effektiv in unserem gesamten Rechenzentrumsnetzwerk. Da jedes Rechezentrum die gleiche IP-Adresse für jeden Cloudflare Kunden anzeigt, kann der Verkehr nicht an nur einen Standort gesendet werden. Anstatt eines Viele-zu-Eins-Angriffs wird der Angriff zu einem Viele-zu-Viele-Angriff, bei dem kein einzelner Punkt innerhalb des Netzwerks eine einzelne Schwachstelle darstellt.

Layer-7-Angriffe

Eine neue Generation von Angriffen zielt auf die 7. Schicht des OSI-Schichtenmodells ab. Diese Angriffe fokussieren auf spezifische Aspekte der entsprechenden Applikation. So versenden zum Beispiel die sogenannten Slow-Read-Angriffe Pakete langsam über mehrere Verbindungen. Da Apache für jede Verbindung einen neuen Thread öffnet und die Verbindungen solange aufrechterhält, wie Datenverkehr gesendet wird, kann ein Angreifer einen Webserver überlasten, indem er alle verfügbaren Threads in relativ kurzer Zeit auslastet.

Tatsächlich reduzieren wir den HTTP Angriffsverkehr um etwa 90%. Dies reicht meistens aus, um unsere Kunden zu schützen. Die restlichen 10%, bei denen herkömmliche Schutzmaßnahmen nicht ausreichen, können Kunden mit limitierten Ressourcen oder im Falle eines großen Angriffs dennoch hart treffen. In diesem Fall bietet Cloudflare den Sicherheitsmodus “I’m Under Attack” (IUAM).

IUAM ist ein Sicherheitslevel, dass Sie für Ihre Website einstellen können, wenn Sie angegriffen werden. Wenn IUAM eingeschaltet ist, wird Cloudflare eine zusätzliche Schutzschicht hinzufügen, um bösartigen HTTP-Datenverkehr davor zu stoppen, an den Server weitergeleitet zu werden. Während eine Reihe von zusätzlichen Kontrollen im Hintergrund ausgeführt wird, wird dem Besucher Ihrer Website für 5 Sekunden eine interstitielle Seite präsentiert, bis die Kontrollen abgeschlossen werden. Betrachten Sie es als eine Aufgabe, bei der Tests automatisch durchgeführt werden und die Besucher kein CAPTCHA ausfüllen müssen.

Layer 7 attack protection

Nachdem die Verifizierung durchgeführt wurde, können Besucher unbeschwert Ihre Seite durchsuchen. JavaScript und Cookies sind für die Tests erforderlich und werden benötigt, um aufzuzeichnen, dass die Tests ordnungsgemäß bestanden sind. Der IUAM-Modus blockiert Suchmaschinen-Crawler oder Ihre bestehende Cloudflare Whitelist nicht. Der „I’m Under Attack“-Modus blockiert keine Suchmaschinen-Crawler oder Ihre vorhandene Cloudflare-Positivliste.

SMURF-Angriffe

Einer der ersten DNS-Amplifikationsangriffe war als der SMURF-Angriff bekannt. Bei einem SMURF-Angriff sendet ein Angreifer ICMP-Anforderungen (d. h. Ping-Anforderungen) an die Broadcast-Adresse eines Netzwerks (d. h. X.X.X.255), die von einem Router angegeben wird, der so konfiguriert ist, dass ICMP-Anforderungen an alle dem Router nachgeschalteten Geräte weitergeleitet werden. Der Angreifer täuscht dann vor, dass die Quelle der ICMP-Anfrage die IP-Adresse des beabsichtigten Opfers ist. Da für ICMP kein Handshake erfolgt, kann das Ziel nicht überprüfen, ob die IP-Quelladresse legitim ist. Der Router empfängt die Anfrage und leitet sie an alle Geräte im lokalen Netz weiter. Jedes dieser Geräte reagiert dann auf die Ping-Anforderungen. Der Angreifer kann dann den Angriff auf die Anzahl der Geräte im angegriffenen Netz erweitern (dh, wenn Sie 5 Geräte haben, dann kann der Angreifer die Attacke um das 5-fache verstärken, siehe Diagramm unten).

DNS Smurf attack

SMURF-Angriffe gehören weitgehend der Vergangenheit an. Der Großteil der Netzbetreiber hat ihre Router so konfiguriert, dass an die Broadcast-Adresse übermittelte ICMP-Anfragen nicht weitergeleitet werden.