Erweiterter Schutz vor DDoS-Angriffen

Denial-of-Service-Attacken (DoS) sind auf dem Vormarsch und haben sich zu komplexen und überwältigenden Herausforderungen im Sicherheitsbereich für große und kleine Organisationen entwickelt. Obwohl DoS-Attacken kein neues Phänomen sind, haben sich die zur Verfügung stehenden Mittel gegen solche Angriffe dramatisch entwickelt und umfassen Schutz vor DDoS und seit kurzem sogar vor DRDoS Attacken - Attacken, bei denen herkömmliche On-Premise-Lösungen einfach nicht ausreichen.

Cloudflares erweiterter DDoS-Schutz, provisioniert als Service am Network Edge, entspricht der Komplexität und dem Umfang solcher Bedrohungen, und kann verwendet werden, um DDoS-Attacken aller Formen und Größen einschließlich derjenigen zu verringern, die auf UDP und ICMP-Protokolle abzielen, sowie SYN/ACK, DNS-Amplifikatoinsangriffe und Layer-7-Attacken.

Cloudflare ist eines der größten DDoS-Schutz-Netzwerke der Welt. Wir bieten DDoS-Schutz zu Pauschalpreisen auf Basis der Anycast-Technologie und haben bereits Angriffe größer als 400Gbps entschärft.

Unter Angriff?
Kontaktieren Sie unser Team
Singapore: +65 3158 3954
International: +1 (650) 319 8930
Verwandte Produkte

DDoS Netzwerklokationen

Pauschalpreise

Cloudflare bietet unbegrenzten DDoS-Schutz für Unternehmen zu einem monatlichen Fixpreis. Wir möchten, dass Sie vor DDoS-Angriffen verschont bleiben. Mit Cloudflares DDoS-Schutz, können Sie sicher sein, dass Ihre Website online bleibt und Sie eine kalkulierbare Monatsrechnung erhalten.

10Tbps Netzwerkkapazität

Cloudflares 10Tbps DDoS-Schutz AnyCast Netzwerk kann es mit jedem DDoS-Angriff aufnehmen. Unsere Gesamtkapazität ist viel größer als die des typischen DDoS-Angriffs, und 10x größer als der bisher größte DDoS-Angriff.

Abwehrmaßnahmen historischer DDoS-Attacken

Wenn Ihr Netzwerk oder Ihre Website mit dem Internet verbunden ist, ist die Prävention vor DDoS zwar nicht möglich, aber Sie können sich unabhängig von der Größe davor schützen. Die Ingenieure von Cloudflare haben bereits einige der größten DDoS-Attacken der Geschichte miterlebt. Erfahren Sie in unserem Blog mehr darüber.

400Gbps: Ein Winter voller schwerer Layer 3 DDoS-Attacken

Im Winter 2016, konnten wir den bisher größten Layer-3-DDoS-Angriff abschwächen. Wir waren nicht nur dazu in der Lage ihn zu mildern, wir konnten ihn außerdem genau messen und analysieren. Mehr erfahren

Details hinter einem 400Gbps NTP-Amplification-Angriff

DDoS-Attacken nehmen alle Formen und Gestalten an. Bei diesem 400Gbps Amplification-Angriff, nutzte der Angreifer 4.529 NTP-Server, um einen Angriff von einem bloßen 87Mbps Quellserver zu verstärken. Mehr erfahren

Die DDoS-Attacke, die beinahe das Internet zerstört hat

Cloudflare bekämpft DDoS-Attacken seit bereits mehr als 5 Jahren. Im Jahr 2013 fand eine 120Gbs starke DDoS-Attacke gegen die Antispam-Organisation Spamhaus statt und es ist uns gelungen, die Website zu retten. Mehr erfahren

Cloudflare einzurichten ist sehr einfach

Cloudflare Preisgestaltung

Jede Website kann von Cloudflare profitieren.
Wählen Sie den Tarif, der Ihren Bedürfnissen entspricht.

Free $ 0 /Monat
Mehr erfahren
Für persönliche Websites, Blogs und alle, die Cloudflare kennenlernen wollen.
„Kostenlos“ enthält diese tollen Features:
  • Eingeschränkter DDoS-Schutz
  • Globales CDN
  • Geteiltes SSL-Zertifikat
  • I'm Under Attack™-Modus bei Angriffen
  • 3 Seitenregeln
PRO $ 20 /Monat pro Website
Mehr erfahren
Für enterprise Websites, Blogs und Angebote, die elementare Sicherheit und Leistung benötigen.
„Pro“ enthält alle Leistungen von „Kostenlos“ und zusätzlich:
  • Einfache Web Application Firewall (WAF) mit Cloudflare-Regelsätzen
  • Bild-Optimierungen mit Polish™
  • Optimierungen für mobile Geräte mit Mirage™
  • 20 Seitenregeln
BUSINESS $ 200 /Monat pro Website
Mehr erfahren
Für kleine e-Commerce-Websites und Unternehmen, die erweiterte Sicherheit und Leistung, PCI-Compliance und vorrangigen Support benötigen.
„Business“ enthält alle Leistungen von „Pro“ und zusätzlich:
  • Erweiterten DDoS-Schutz
  • Erweiterte Web Application Firewall (WAF) mit 25 benutzerdefinierten Regelsätzen
  • Upload von benutzerdefiniertem SSL-Zertifikat
  • Einhalten der PCI-Richtlinien mit TLS 1.2-Modus und WAF
  • Beschleunigte Bereitstellung dynamischer Inhalte mit Railgun™
  • Vorrangiger Support
  • 50 Seitenregeln
Enterprise Jetzt für kostenlosen Testzugang Registrieren
Mehr erfahren
Für Unternehmen, die Sicherheit und Leistung der Spitzenklasse, 24/7/365 Notfall-Support und garantierte Verfügbarkeit einer oder mehrerer Internet-Ressourcen benötigen.
„Enterprise“ enthält alle Leistungen von „Business“ und zusätzlich:
  • 24/7/365 hochkompetenten Telefon- und E-Mail-Support für Unternehmen
  • Garantierte 100-prozentige Verfügbarkeit mit 25-facher Erstattung gemäß Service Level Agreement (SLA)
  • Erweiterten DDoS-Schutz mit priorisierten IP-Adressbereichen
  • Erweiterte Web Application Firewall (WAF) mit unbegrenzten benutzerdefinierten Regelsätzen
  • Rollenbasierter Mehrbenutzerzugriff
  • Upload von mehreren benutzerdefinierten SSL-Zertifikaten
  • Zugriff auf Log-Rohdaten
  • Dedizierte Lösungs- und Kundenerfolgs-Techniker
  • Zugriff auf Zugangspunkte zum CDN China
  • 100 Seitenregeln

Kostenlos

$ 0 / Monat
 
Für persönliche Websites, Blogs und alle, die Cloudflare kennenlernen wollen.

Pro

$ 20 / Monat
pro Website
Für enterprise Websites, Blogs und Angebote, die elementare Sicherheit und Leistung benötigen.
AM BELIEBTESTEN

Business

$ 200 / Monat
pro Website
Für kleine e-Commerce-Websites und Unternehmen, die erweiterte Sicherheit und Leistung, PCI-Compliance und vorrangigen Support benötigen.

Enterprise

Testzugang Registrieren
 
Für Unternehmen, die Sicherheit und Leistung der Spitzenklasse, 24/7/365 Notfall-Support und garantierte Verfügbarkeit einer oder mehrerer Internet-Ressourcen benötigen.

Die Besten vertrauen darauf

Abwehrmaßnahmen historischer DDoS-Attacken

Da Cloudflare als Proxy für Ihren gesamten Netzwerkverkehr dient, können wir Sie vor jeder Art von Distributed-Denial-of-Service-Angriffen schützen, einschließlich:

Layer 3/4 Attacken

Die meisten DDoS-Attacken zielen es auf die Transport- und Networkschichten eines Kommunikationssystems ab. Diese Schichten repräsentieren Layer 3 und 4 des OSI-Schichtenmodells. Die so genannte Transportschicht spezifiziert das Protokoll (zB TCP oder UDP) mit dem zwei Hosts in einem Netzwerk miteinander kommunizieren. Angriffe auf die Schichten 3 und 4 sollen die Netzwerkschnittstelle mit Angriffsverkehr überschwemmen, um seine Ressourcen zu überfordern und die Fähigkeit zu verweigern auf legitimen Datenverkehr zu reagieren. Insbesondere zielen Angriffe dieser Art es darauf ab, die Switch-Kapazität zu sättigen, oder eine Netzwerkkarte oder die CPU-Fähigkeit des Servers zur Abwehr des Angriffs zu überfordern.

Layer 3 und 4 Attacken können mit einer On-Premise-Lösung kaum abgeschwächt werden. Wenn ein Angreifer mehr Verkehr sendet als eine Netzwerkverbindung verarbeiten kann, werden auch keine zusätzlichen Hardware-Ressourcen dabei helfen, einen solchen Angriff zu mildern. Zum Beispiel, wenn Sie einen Router mit einem 10Gbps-Port haben und ein Angreifer sendet Ihnen 11Gbps Angriffsverkehr, wird es keiner noch so intelligenten Software oder Hardware möglich sein, den Angriff zu stoppen, wenn die Netzwerkverbindung vollständig gesättigt ist.

Sehr große Layer 3/4 Angriffe stammen fast immer aus einer Reihe von Quellen. Diese vielen Quellen senden jeweils Angriffsverkehr an eine einzige Internet-Adresse und erzeugen somit eine Flutwelle, mit denen das Angriffsziel nicht umgehen kann. Der Angriff wird also verteilt. Die Angriffsverkehr-Quelle kann eine Gruppe von Leuten sein die miteinander arbeiten, ein Botnet von kompromittierten PCs, ein Botnet von kompromittierten Servern, falsch konfigurierte DNS-Resolver oder sogar Heim-Internet-Router mit schwachen Passwörtern.

Da es dem Angreifer einer 3/4 Layer Attacke egal ist, ob er eine Antwort auf seine Anfragen erhält, muss das Angriffspaket nicht genau oder richtig formatiert sein. Der Angreifer wird regelmäßig alle Informationen in den Angriffspaketen manipulieren, einschließlich der Quell-IP-Adresse, um es so aussehen zu lassen, als wie wenn der Angriff von einer praktisch unbegrenzten Anzahl von Quellen kommen würde. Da Paketdaten vollständig randomisiert werden können, werden selbst Techniken wie Ingress-Filter praktisch nutzlos.

Mit Cloudflare wird jeglicher Angriffsverkehr, der sonst direkt auf Ihren Server treffen würde, automatisch an Cloudflares globales Anycast-Netzwerk geleitet. Sobald der Angriffsverkehr verlagert wurde, nutzen wir die globale Kapazität unseres Netzwerks und die Vielzahl unserer Server um die Flut des Angriffsverkehr am Networkedge zu absorbieren. Das bedeutet, dass Cloudflare jedes einzelne Angriffpaket einer Layer 3/4 Attacke davon abhalten kann, jemals eine Seite zu erreichen, die unter dem Schutz von Cloudflare steht.

DNS Amplification Attack

DNS Amplifikationsattacken sind eine Form von DRDoS, die auf dem Vormarsch sind und zur größten Quelle der Layer 3/4 DDoS-Attacken geworden sind. Cloudflare mildert regelmäßig Angriffe, die 100Gpbs überschreiten, und hat vor kurzem einen Kunden vor einem Angriff von mehr als 300Gbps geschützt - einen Angriff, den die “New York Times als die "größte öffentliche DDoS-Attacke in der Geschichte des Internets" bezeichnet hat.""

Bei einem DNS-Amplifikationsangriff sendet der Angreifer eine Anfrage für eine große DNS Zonendatei - die Quell-IP-Adresse erscheint als die IP-Adresse des Opfers - an eine große Anzahl von Open DNS Resolver. Die Resolver reagieren dann auf die Anfrage, und senden die Antwort an die IP-Adresse des beabsichtigten Opfers. Die Anfragen der Angreifer machen nur einen Bruchteil der Größe der Antworten aus, so dass der Angreifer den Angriff zu einem Vielfachen der Größe der Bandbreiten-Ressourcen die er selbst kontrolliert erweitern kann.

Der DNS-Amplifikationsangriff ohne Cloudflare

Ein Angreifer sammelt Ressourcen wie Botnets und imitiert die IP-Adresse des Ziels. Die Ressourcen senden dann eine Flut von Antworten an das Ziel um es unverfügbar zu machen.

Der DNS-Amplifikationsangriff mit Cloudflare

Ein Angreifer sammelt Ressourcen wie Botnets und imitiert die IP-Adresse des Ziels. Die Ressourcen senden dann eine Flut von Antworten an das Ziel, aber sie werden von Cloudflares Datencentern blockiert. Legitimer Datenverkehr kann dabei immer noch auf das Web-Property zugreifen.

Es gibt zwei Kriterien für einen DNS-Amplifikationsangriff: 1.) eine Anfrage kann von einer gefälschten Quelladresse gesendet werden (zB über ein Protokoll wie ICMP oder UDP, das keinen Handshake erfordert); und 2.) die Antwort auf die Anfrage ist wesentlich größer als die Anfrage selbst. DNS ist eine omnipräsente Internet-Plattform, die diese Kriterien erfüllt, und ist damit zur größten Quelle von Amplifikationsangriffen geworden.

DNS-Anfragen werden in der Regel über UDP übertragen, was bedeutet, dass sie, wie ICMP-Anfragen in einem SMURF Angriff (siehe unten), "gefeuert und vergessen" werden. Dadurch kann das Quellattribut einer DNS-Anfrage vorgetäuscht werden, und der Empfänger hat vor der Antwort keine Möglichkeit, dessen Richtigkeit zu bestimmen. DNS ist auch dazu in der Lage eine viel größere Antwort als Anfrage zu generieren. Zum Beispiel können Sie die folgende (winzige) Anfrage senden (wobei x.x.x.x die IP eines Open-DNS-Resolvers ist):

dig ANY isc.org @x.x.x.x +edns=0

Und die folgende gigantische Antwort erhalten:

; <<>> DiG 9.7.3 <<>> ANY isc.org @x.x.x.x
;; global options: +cmd
;; Got answer:
;; ->>HEADER <<- opcode: QUERY, status: NOERROR, id: 5147
;; flags: qr rd ra; QUERY: 1, ANSWER: 27, AUTHORITY: 4, ADDITIONAL: 5
;; QUESTION SECTION:
;isc.org. IN ANY
;; ANSWER SECTION:
isc.org. 4084 IN SOA ns-int.isc.org. hostmaster.isc.org. 2012102700 7200 3600 24796800 3600
isc.org. 4084 IN A 149.20.64.42
isc.org. 4084 IN MX 10 mx.pao1.isc.org.
isc.org. 4084 IN MX 10 mx.ams1.isc.org.
isc.org. 4084 IN TXT "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
isc.org. 4084 IN TXT "$Id: isc.org,v 1.1724 2012-10-23 00:36:09 bind Exp $"
isc.org. 4084 IN AAAA 2001:4f8:0:2::d
isc.org. 4084 IN NAPTR 20 0 "S" "SIP+D2U" "" _sip._udp.isc.org.
isc.org. 484 IN NSEC _kerberos.isc.org. A NS SOA MX TXT AAAA NAPTR RRSIG NSEC DNSKEY SPF
isc.org. 4084 IN DNSKEY 256 3 5 BQEAAAAB2F1v2HWzCCE9vNsKfk0K8vd4EBwizNT9KO6WYXj0oxEL4eOJ aXbax/BzPFx+3qO8B8pu8E/JjkWH0oaYz4guUyTVmT5Eelg44Vb1kssy q8W27oQ+9qNiP8Jv6zdOj0uCB/N0fxfVL3371xbednFqoECfSFDZa6Hw jU1qzveSsW0=
isc.org. 4084 IN DNSKEY 257 3 5 BEAAAAOhHQDBrhQbtphgq2wQUpEQ5t4DtUHxoMVFu2hWLDMvoOMRXjGr hhCeFvAZih7yJHf8ZGfW6hd38hXG/xylYCO6Krpbdojwx8YMXLA5/kA+ u50WIL8ZR1R6KTbsYVMf/Qx5RiNbPClw+vT+U8eXEJmO20jIS1ULgqy3 47cBB1zMnnz/4LJpA0da9CbKj3A254T515sNIMcwsB8/2+2E63/zZrQz Bkj0BrN/9Bexjpiks3jRhZatEsXn3dTy47R09Uix5WcJt+xzqZ7+ysyL KOOedS39Z7SDmsn2eA0FKtQpwA6LXeG2w+jxmw3oA8lVUgEf/rzeC/bB yBNsO70aEFTd
isc.org. 4084 IN SPF "v=spf1 a mx ip4:204.152.184.0/21 ip4:149.20.0.0/16 ip6:2001:04F8::0/32 ip6:2001:500:60::65/128 ~all"
isc.org. 484 IN RRSIG NS 5 2 7200 20121125230752 20121026230752 4442 isc.org. oFeNy69Pn+/JnnltGPUZQnYzo1YGglMhS/SZKnlgyMbz+tT2r/2v+X1j AkUl9GRW9JAZU+x0oEj5oNAkRiQqK+D6DC+PGdM2/JHa0X41LnMIE2NX UHDAKMmbqk529fUy3MvA/ZwR9FXurcfYQ5fnpEEaawNS0bKxomw48dcp Aco=
isc.org. 484 IN RRSIG SOA 5 2 7200 20121125230752 20121026230752 4442 isc.org. S+DLHzE/8WQbnSl70geMYoKvGlIuKARVlxmssce+MX6DO/J1xdK9xGac XCuAhRpTMKElKq2dIhKp8vnS2e+JTZLrGl4q/bnrrmhQ9eBS7IFmrQ6s 0cKEEyuijumOPlKCCN9QX7ds4siiTIrEOGhCaamEgRJqVxqCsg1dBUrR hKk=
isc.org. 484 IN RRSIG MX 5 2 7200 20121125230752 20121026230752 4442 isc.org. VFqFWRPyulIT8VsIdXKMpMRJTYpdggoGgOjKJzKJs/6ZrxmbJtmAxgEu /rkwD6Q9JwsUCepNC74EYxzXFvDaNnKp/Qdmt2139h/xoZsw0JVA4Z+b zNQ3kNiDjdV6zl6ELtCVDqj3SiWDZhYB/CR9pNno1FAF2joIjYSwiwbS Lcw=
isc.org. 484 IN RRSIG TXT 5 2 7200 20121125230752 20121026230752 4442 isc.org. Ojj8YCZf3jYL9eO8w4Tl9HjWKP3CKXQRFed8s9xeh5TR3KI3tQTKsSeI JRQaCXkADiRwHt0j7VaJ3xUHa5LCkzetcVgJNPmhovVa1w87Hz4DU6q9 k9bbshvbYtxOF8xny/FCiR5c6NVeLmvvu4xeOqSwIpoo2zvIEfFP9deR UhA=
isc.org. 484 IN RRSIG AAAA 5 2 7200 20121125230752 20121026230752 4442 isc.org. hutAcro0NBMvKU/m+2lF8sgIYyIVWORTp/utIn8KsF1WOwwM2QMGa5C9 /rH/ZQBQgN46ZMmiEm4LxH6mtaKxMsBGZwgzUEdfsvVtr+fS5NUoA1rF wg92eBbInNdCvT0if8m1Sldx5/hSqKn8EAscKfg5BMQp5YDFsllsTauA 8Y4=
isc.org. 484 IN RRSIG NAPTR 5 2 7200 20121125230752 20121026230752 4442 isc.org. ZD14qEHR7jVXn5uJUn6XR9Lvt5Pa7YTEW94hNAn9Lm3Tlnkg11AeZiOU 3woQ1pg+esCQepKCiBlplPLcag3LHlQ19OdACrHGUzzM+rnHY50Rn/H4 XQTqUWHBF2Cs0CvfqRxLvAl5AY6P2bb/iUQ6hV8Go0OFvmMEkJOnxPPw 5i4=
isc.org. 484 IN RRSIG NSEC 5 2 3600 20121125230752 20121026230752 4442 isc.org. rY1hqZAryM045vv3bMY0wgJhxHJQofkXLeRLk20LaU1mVTyu7uair7jb MwDVCVhxF7gfRdgu8x7LPSvJKUl6sn731Y80CnGwszXBp6tVpgw6oOcr Pi0rsnzC6lIarXLwNBFmLZg2Aza6SSirzOPObnmK6PLQCdmaVAPrVJQs FHY=
isc.org. 484 IN RRSIG DNSKEY 5 2 7200 20121125230126 20121026230126 4442 isc.org. i0S2MFqvHB3wOhv2IPozE/IQABM/eDDCV2D7dJ3AuOwi1A3sbYQ29XUd BK82+mxxsET2U6hv64crpbGTNJP3OsMxNOAFA0QYphoMnt0jg3OYg+AC L2j92kx8ZdEhxKiE6pm+cFVBHLLLmXGKLDaVnffLv1GQIl5YrIyy4jiw h0A=
isc.org. 484 IN RRSIG DNSKEY 5 2 7200 20121125230126 20121026230126 12892 isc.org. j1kgWw+wFFw01E2z2kXq+biTG1rrnG1XoP17pIOToZHElgpy7F6kEgyj fN6e2C+gvXxOAABQ+qr76o+P+ZUHrLUEI0ewtC3v4HziMEl0Z2/NE0MH qAEdmEemezKn9O1EAOC7gZ4nU5psmuYlqxcCkUDbW0qhLd+u/8+d6L1S nlrD/vEi4R1SLl2bD5VBtaxczOz+2BEQLveUt/UusS1qhYcFjdCYbHqF JGQziTJv9ssbEDHT7COc05gG+A1Av5tNN5ag7QHWa0VE+Ux0nH7JUy0N ch1kVecPbXJVHRF97CEH5wCDEgcFKAyyhaXXh02fqBGfON8R5mIcgO/F DRdXjA==
isc.org. 484 IN RRSIG SPF 5 2 7200 20121125230752 20121026230752 4442 isc.org. IB/bo9HPjr6aZqPRkzf9bXyK8TpBFj3HNQloqhrguMSBfcMfmJqHxKyD ZoLKZkQk9kPeztau6hj2YnyBoTd0zIVJ5fVSqJPuNqxwm2h9HMs140r3 9HmbnkO7Fe+Lu5AD0s6+E9qayi3wOOwunBgUkkFsC8BjiiGrRKcY8GhC kak=
isc.org. 484 IN RRSIG A 5 2 7200 20121125230752 20121026230752 4442 isc.org. ViS+qg95DibkkZ5kbL8vCBpRUqI2/M9UwthPVCXl8ciglLftiMC9WUzq Ul3FBbri5CKD/YNXqyvjxyvmZfkQLDUmffjDB+ZGqBxSpG8j1fDwK6n1 hWbKf7QSe4LuJZyEgXFEkP16CmVyZCTITUh2TNDmRgsoxrvrOqOePWhp 8+E=
isc.org. 4084 IN NS ns.isc.afilias-nst.info.
isc.org. 4084 IN NS ams.sns-pb.isc.org.
isc.org. 4084 IN NS ord.sns-pb.isc.org.
isc.org. 4084 IN NS sfba.sns-pb.isc.org.
;; AUTHORITY SECTION:
isc.org. 4084 IN NS ns.isc.afilias-nst.info.
isc.org. 4084 IN NS ams.sns-pb.isc.org.
isc.org. 4084 IN NS ord.sns-pb.isc.org.
isc.org. 4084 IN NS sfba.sns-pb.isc.org.
;; ADDITIONAL SECTION:
mx.ams1.isc.org. 484 IN A 199.6.1.65
mx.ams1.isc.org. 484 IN AAAA 2001:500:60::65
mx.pao1.isc.org. 484 IN A 149.20.64.53
mx.pao1.isc.org. 484 IN AAAA 2001:4f8:0:2::2b
_sip._udp.isc.org. 4084 IN SRV 0 1 5060 asterisk.isc.org.
;; Query time: 176 msec
;; SERVER: x.x.x.x#53(x.x.x.x)
;; WHEN: Tue Oct 30 01:14:32 2012
;; MSG SIZE rcvd: 3223

Diese 64-Byte-Anfrage resultierte in einer 3.223-Byte-Antwort. Die Angreifer können also ihre Attacke nahezu 50-fach verstärken.

Cloudflares Anycast-Netzwerk wurde speziell dazu entworfen, enorme Layer 3/4 Attacken aufzuhalten. Durch die Verwendung von Anycast sind wir dazu in der Lage, für jedes unserer 101 Rechenzentren weltweit die gleiche IP-Adresse anzugeben. Das Netzwerk sendet Anfragen an die nächstgelegene Einrichtung. Unter normalen Umständen hilft uns das sicherzustellen, dass Ihre Website-Nutzer automatisch zum nächstgelegenen Rechenzentrum in unserem Netzwerk geleitet werden, um die beste Leistung zu gewährleisten. Im Falle eines Angriffs verstreut Anycast den Angriffsverkehr effektiv in unserem gesamten Netzwerk. Da jedes Rechezentrum die gleiche IP-Adresse für jeden Cloudflare Kunden anzeigt, kann der Verkehr nicht an nur einen Standort gesendet werden. Der Angriff wird also verteilt und durch diese Lastverteilung bleibt der Angriff erfolglos.

SMURF-Attacken

Einer der ersten DNS-Amplifikationsangriffe war als der SMURF-Angriff bekannt. Bei einem SMURF-Angriff sendet ein Angreifer ICMP-Anfragen (bspw Ping-Anfragen) an die Broadcast-Adresse eines Netzwerks (zB X.X.X.255) dessen Router die Broadcast-Anfrage an alle Geräte im lokalen Netz weiterleitet. Der Angreifer täuscht dann vor, dass die Quelle der ICMP-Anfrage die IP-Adresse des beabsichtigten Opfers ist. Da für ICMP kein Handshake erfolgt, kann das Ziel nicht überprüfen, ob die IP-Quelladresse legitim ist. Der Router empfängt die Anfrage und leitet sie an alle Geräte im lokalen Netz weiter. Jedes dieser Geräte reagiert dann auf die Ping-Anforderungen. Der Angreifer kann dann den Angriff auf die Anzahl der Geräte im angegriffenen Netz erweitern (dh, wenn Sie 5 Geräte haben, dann kann der Angreifer die Attacke um das 5-fache verstärken, siehe Diagramm unten).

SMURF-Angriffe gehören weitgehend der Vergangenheit an. Der Großteil der Netzbetreiber hat ihre Router so konfiguriert, dass an die Broadcast-Adresse übermittelte ICMP-Anfragen nicht weitergeleitet werden.

SYN-Flood

Um diese Form der Denial-of-Service-Attacke zu verstehen, muss man in die Welt des TCP eintauchen. Wenn eine TCP-Verbindung aufgebaut wird, erfolgt ein Handshake. Der Server der die TCP-Sitzung initiiert sendet zuerst eine SYN-Anfrage (Synchronisierungswunsch) an den empfangenden Server. Der empfangende Server antwortet mit einem ACK (für Acknowledge - Bestätigung). Nach diesem Handshake können Daten ausgetauscht werden.

Bei einer SYN-Flood sendet der Angreifer viele SYN-Pakete mit einer gefälschten Quell-IP-Adresse die zum beabsichtigten Opfer zeigt. Die Server reagieren dann auf die IP des Opfers mit einem ACK, und der Angriff wird ausgelöst.

Wie bei den DNS Reflection Attacks, verschleiern auch die SYN-Floods die Quelle des Angriffs und sehen so aus, als ob sie von einer legitimen Quelle stammen würden. Im Gegensatz zu einem DNS Reflexion Angriff erfolgt hier keine Verstärkung: Die Bandbreite der ACKs entspricht der Bandbreite der vom Angreifer erzeugten SYNs. Das Cloudflare Netzwerk lässt unvollständige Pakete fallen, wodurch diese Art von Angriffen abgeschwächt wird.

Layer 7 Attacken

Eine neue Generation von Angriffen zielt auf die 7. Schicht des OSI-Schichtenmodells ab. Diese Angriffe fokussieren auf spezifische Aspekte der entsprechenden Applikation. Zum Beispiel sendet der sogenannte "Slow-Read" Angriff Pakete langsam über verschiedenste Verbindungen an den Zielserver. Da der Apache Webserver für jede neue Anfrage einen eigenen Thread erstellt, kann so relativ einfach und schnell der Thread-Pool eines Webservers ausgeschöpft werden.

Cloudflare verfügt über Schutzmaßnahmen gegen viele solcher Angriffe. Tatsächlich reduzieren wir den HTTP Angriffsverkehr um etwa 90%. Dies reicht meistens aus, um unsere Kunden zu schützen. Die restlichen 10%, bei denen herkömmliche Schutzmaßnahmen nicht ausreichen, können Kunden mit limitierten Ressourcen oder im Falle eines großen Angriffs dennoch hart treffen. In diesem Fall bietet Cloudflare den Sicherheitsmodus “I’m Under Attack” (IUAM).

IUAM ist ein Sicherheitslevel, dass Sie für Ihre Website einstellen können, wenn Sie angegriffen werden. Wenn IUAM eingeschaltet ist, wird Cloudflare eine zusätzliche Schutzschicht hinzufügen, um bösartigen HTTP-Datenverkehr davor zu stoppen, an den Server weitergeleitet zu werden. Während eine Reihe von zusätzlichen Kontrollen im Hintergrund ausgeführt wird, wird dem Besucher Ihrer Website für 5 Sekunden eine interstitielle Seite präsentiert, bis die Kontrollen abgeschlossen werden. Betrachten Sie es als eine Aufgabe, bei der Tests automatisch durchgeführt werden und die Besucher kein CAPTCHA ausfüllen müssen.

Nachdem die Verifizierung durchgeführt wurde, können Besucher unbeschwert Ihre Seite durchsuchen. Javascript und Cookies sind für die Tests erforderlich, und um aufzuzeichnen, dass die Tests korrekt durchgeführt wurden. Die Seite, die Ihre Besucher sehen, wenn Sie sich im IUAM-Modus befinden, kann komplett individuell an Ihr Branding angepasst werden. Der IUAM-Modus blockiert Suchmaschinen-Crawler oder Ihre bestehende Cloudflare Whitelist nicht.