Zunehmende DDOS Attacken, Credential Stuffing Bots und gezielte Angriffe auf konkrete Server-IP’s zeigen, wie wichtig es heutzutage ist, die eigenen Server und Services zu schützen.

DDOS Angriffe nehmen stark zu, werden jedoch immer kürzer. Eine durchschnittliche Attacke dauert 30-60 Minuten und hat eine Angriffsgröße von 5,15 Gbps. Die bisher größte DDOS-Attacke war 942 Gbps groß.
Cloudflare Q1 2020

Die klassischen Lösungen für große Unternehmen sind Scrubbing-Center zur Mitigation von Layer 3 Bedrohungen, häufig in Form von physischen Boxen in Firmen oder klassischen Servern in Rechenzentren.

Dabei wird der Traffic zunächst durch das Scrubbing-Center (Layer 3) geschickt, oft noch über eine Web Application Firewall (WAF) zwecks Layer 7 Protection und anschließend erst auf die eigenen Server weitergeleitet.

Nicht nur, dass man dadurch entsprechende Latenzen hat, welche nachteilig für die Nutzer sind. Über diesen Weg lassen sich zudem meistens auch die Origin IP’s dank Traceroute problemlos herausfinden.

Kommen die Angreifer in den Besitz der Origin-IP’s können sie all diese Schutzsysteme potentiell umgehen und die Origin-Server einfach direkt attackieren.

Classical Server Architecture

Nicht nur, dass es einem Angreifer im Fall der klassischen Architekturen möglich ist, die Origin Server oder Services direkt zu attackieren. Er umgeht damit auch potentiell sämtliche Sicherheitssysteme und hat in der Regel kein Problem, den oder die Zielserver lahmzulegen.

Natürlich sind solche Architekturen in Wahrheit meistens noch komplexer. Häufig überfordert ein Angriff bereits vorstehende Loadbalancer und blockiert damit das Eingangstor in die eigene Systemlandschaft. Gibt es keine Hintertür ist es selbst für die Administratoren und Operatoren während des Angriffs unmöglich noch auf die eigene Architektur zuzugreifen.

Hinzu kommt, dass der Aufbau eines solchen Security-Stack oft teuer, und für kleine Unternehmen oder gar Privatanwender nicht erschwinglich ist.

Eine moderne Architektur sieht anders aus:

In diesem Fall geht der Client Request auf den physisch nächsten Cloud-Server eines Content Delivery Networks (CDN), wie zum Beispiel Cloudflare.

Cloudflare stellt die Domain-Nameserver (DNS) und sorgt mittels Reverse Proxy dafür, dass die Verbindung zum Origin Server / Cloud Service anonym bleibt. In diesem Fall lässt sich die Origin IP NICHT herausfinden. Eure Services bleiben anonym.

Contemporary Server Architecture

Ein weiterer Vorteil ist, dass wir kaum Latenzen haben. Denn Cloudflare hat auf jedem einzelnen Server den kompletten Security Stack gekapselt mit dabei. Man wird nicht durch zahlreiche Server durchgeroutet – es entsteht quasi keine Latenz. In diesem Beispiel werden direkt am Eingangstor Layer3 und Layer7 Attacken erkannt und abgewehrt.

Ebenfalls findet verstärkt eine Bot Mitigation statt, welche zum Beispiel Credential Stuffing Bots erkennt, welche zufällig Zugangsdaten wahllos ausprobieren. Diesen Bots wird bereits an der ersten Station ein Riegel vorgeschoben, bspw. mit einer Captcha-Abfrage oder einer Abweisung des Requests.

Anschließend wird vom gleichen Server auch der Content ausgeliefert, welcher sich initial via Reverse Proxy vom Origin Server oder Service abgeholt wurde.

Einem potentiellen Angreifer ist es damit quasi unmöglich, eure Services lahmzulegen oder an eure Origin Server / Services zu gelangen.

Dabei hat Cloudflare eine Netzwerk-Kapazität von 37 Tbps weltweit. Zum Vergleich: Der bisher größte DDOS-Angriff in der Geschichte (Stand Q1 2020) war 942 Gbps groß. Eine durchschnittliche DDOS-Attacke dauert 30-60 Minuten und ist 5,15 Gbps groß.

Und das beste daran: Selbst Privatanwender partizipieren davon. Denn eine Domain kann man bei Cloudflare kostenlos nutzen (jedoch ohne WAF / Layer7 Protection). So ist es nun jedem möglich, ein CDN mit DDOS Schutz auch kostenlos für die eigene private Webseite zu nutzen.

Doch auch Mitbewerber wie Akamai versuchen hier ebenfalls Anschluss zu finden. Es ist wohl abzusehen, dass Cloudflare über kurz oder lang auch Konkurrenz auf dem Markt bekommen wird.

Zu guter Letzt: Was ist mit personalisiertem Content?

Hierzu wird es noch einen separaten Blog-Eintrag geben, der dann zu gegebener Zeit hier verlinkt wird.