Zuverlässige DDoS-Mitigation

Wirksamer Schutz gegen DDoS-Attacken

Unternehmen werden immer anfälliger für DDoS-Angriffe, die unerwartete Störungen in ihren Abläufen auslösen können. Das Ausmaß dieser Angriffe kann schwer vorhersehbar sein und zu unerwarteten Verzögerungen bei der Datenübertragung oder Ausfällen von Webservern führen. Infolgedessen können die Dienste erheblichen Schaden an ihrer Glaubwürdigkeit und finanzielle Verluste erleiden. Dennoch können sich Unternehmen schützen und vorbeugende Maßnahmen ergreifen: Der cloudshift® DDoS Mitigation Service mildert DDoS-Angriffe und Unterbrechungen im Vorfeld ab und sorgt dafür, dass der Ablauf betroffener Lösungen oder Websites immer aufrechterhalten werden kann.

DDoS Schutz
DSGVO konform, deutsche Cloud, klimaneutral

Was passiert bei einem DDoS-Angriff und wie schützen wir Sie?

Bei einem verteilten Denial-of-Service-Angriff (DDoS) unterbrechen Angreifer absichtlich den Zugang zu einem Dienst oder Server und machen ihn für legitime Personen unzugänglich. Eine typische Technik, die von Angreifern eingesetzt wird, besteht darin, mehrere Computer heimlich mit Malware zu infizieren und so die Kontrolle über diese Geräte zu erlangen. Dieses Netzwerk infizierter Computersysteme, ein sogenanntes Botnet, wird dann von den Gegnern genutzt, um von mehreren Ressourcen aus gleichzeitig DDoS-Angriffe zu starten und die Einrichtungen des Ziels mit einer Flut von Anfragen zu überschwemmen. cloudshift® bietet zwei Alternativen für DDoS-Abwehrdienste:Basic- und Pro-Pakete. Diese Lösungen laufen unabhängig von den Domain- und Port-Spezifikationen und bieten einen frühzeitigen Schutz vor Angriffen. Mit unserer eigenen Abwehreinrichtungen im eigenen Data-Center garantieren wir Inhouse-Schutz. Ein entscheidender Vorteil unserer Lösungen zur DDoS-Abwehr ist, dass Sie bei einem Angriff keine DNS-Konfigurationen ändern müssen.

Vorteile von cloudshift® DDoS-Schutz

DDoS-Schutz Made in Germany

Zertifizierter und zuverlässiger DDoS-Schutz aus Deutschland.

DSGVO-konform

Wir halten uns strickt an die strengen Vorgaben der DSGVO.

Persönlicher Support

Unser technischer Support unterstützt Sie auf Wunsch individuell bei der Implementierung des DDoS-Schutzes und ist im Notall für Sie erreichbar.

Keine DNS Änderungen notwendig

Ihre IP-Adresse bleibt unverändert. DNS-Einstellungen müssen im Angriffsfall nicht angepasst werden.

Scrubbing-Center

Im Pro Paket ist ein eigenes Srubbing-Data-Center enthalten, über den wir den Web-Traffic leiten.

Planbare Kosten

der cloudshift DDoS-Schutz wird zum fairen Festpreis angeboten und nicht abhängig vom Web-Traffic. Das hält die Kosten planbar.

cloudshift® DDoD-Schutz Pakete & Tarife

Unser Angebot richtet sich ausschließlich an gewerbliche Kunden. Alle Preise netto zzgl. MwSt. Kein Verkauf an Verbraucher i.S.d. § 13 BGB.

  • DDoS-Schutz Basic

  • 99,90 €pro Monat zzgl. MwSt.
  • Domainunabhängig
  • Portunabhängig
  • IP-Renumbering
  • Pro-aktives Handling
  • Origin-Protection
  • Scrubbing Center
  • Real-Time-Response-Team – 24/7 Support
  • Echtzeit-Mitigation
  • Geschützte IPs
  • Angriffsvolumen
    (max. Bandbreite)
  • Bekämpfte Angriffsvektoren
  • Anfragen

  • DDoS-Schutz Basic

  • 99,90 pro Monat zzgl. MwSt.
  • IP bleibt unverändert
  • 1
  • bis zu 2 Gbit/s
  • udp-flood
    icmp-flood
    ipfragmentation-flood
  • Anfragen

  • DDoS-Schutz Pro

  • auf Anfrage
  • IP bleibt unverändert
  • Gesamtes Netz (z.B./24)
  • über 1.000 Gbit/s
  • Layer 7
    sowie alle bekannten
  • Anfragen

Häufige Fragen zum cloudshift® DDoS-Schutz

Ein Scrubbing-Center ist ein externes Rechenzentrum, welches strategisch günstig in unmittelbarer Nähe zu verschiedenen sogenannten „Internet-POPs“ (Points of Presence) positioniert ist. Diese Points of Presence dienen als wichtige Knotenpunkte im Internet, über die der Datenverkehr geleitet wird, und ihre Nähe zu einem Rechenzentrum kann die Latenzzeit deutlich reduzieren sowie die allgemeine Verbindungsgeschwindigkeit verbessern. Ein zentraler Aspekt dieses externen Rechenzentrums ist die Einrichtung eines sogenannten „Scrubbing Centers“. In diesem spezialisierten Bereich des Rechenzentrums erfolgt eine gezielte Überprüfung und Filterung des eingehenden Datenverkehrs, bevor dieser überhaupt die Kerninfrastruktur des Rechenzentrums erreicht. Diese Vorfilterung ist entscheidend, um unerwünschte Datenpakete, wie etwa solche, die im Rahmen von DDoS-Angriffen (Distributed Denial of Service) versendet werden, frühzeitig zu erkennen und abzuwehren. Auf diese Weise wird sichergestellt, dass nur legitimer und sicherer Datenverkehr in das eigentliche Rechenzentrum gelangt. Durch die Implementierung eines solchen Scrubbing Centers ist es möglich, auch extrem hohe Bandbreitenanforderungen und Datenverkehrsspitzen zu bewältigen und zu mitigieren, was die Zuverlässigkeit und Sicherheit des Rechenzentrums insgesamt erheblich steigert.

DDoS-Angriffe (Distributed Denial of Service) sind vielfältig und nutzen unterschiedliche Methoden, um Zielnetzwerke oder -dienste zu überlasten und unzugänglich zu machen. Hier sind einige der häufigsten Arten von DDoS-Angriffen, einschließlich derjenigen, die du erwähnt hast:

  • SYN-Flooding: Bei einem SYN-Flooding-Angriff senden Angreifer eine Flut von SYN-Anfragen (Teil des TCP-Handshakes) an das Ziel, ohne die Verbindung mit einem ACK (Acknowledgement) abzuschließen. Dies führt dazu, dass der Server auf Antworten wartet, die nie kommen, wodurch Ressourcen erschöpft werden und legitime Anfragen nicht mehr bearbeitet werden können.
  • Smurf-Angriffe: Smurf-Angriffe nutzen das ICMP (Internet Control Message Protocol) für die Attacke. Der Angreifer sendet ICMP-Echo-Anfragen (Ping) an eine Broadcast-Adresse von Netzwerkequipment, wobei die Absenderadresse gefälscht ist und die des Opfers angibt. Alle Geräte im Netzwerk antworten auf diese Anfrage, was zu einer Überlastung des Zielsystems führt.
  • Distributed-Reflected-Denial-of-Service (DRDoS): Bei DRDoS-Angriffen missbrauchen Angreifer die Eigenschaften von Protokollen wie DNS, NTP (Network Time Protocol) oder SNMP (Simple Network Management Protocol), indem sie Anfragen mit gefälschter Absenderadresse (die des Opfers) an diese Server senden. Die Server antworten dann mit einer Antwort an das Opfer, was zu einer Überlastung führt.
  • Angriffe durch Backdoor-Programme: Angreifer nutzen Sicherheitslücken, um Schadsoftware oder Backdoor-Programme auf Computern oder Netzwerken zu installieren. Diese infizierten Maschinen können dann Teil eines Botnets werden, das der Angreifer für DDoS-Angriffe verwendet, indem es koordinierte Anfragen an ein Ziel sendet.

Weitere Arten von DDoS-Angriffen umfassen:

  • UDP-Flood: Bei dieser Methode senden Angreifer eine große Anzahl von UDP-Paketen an zufällige Ports auf dem Zielserver. Der Server versucht, auf jedes Paket mit einer ICMP-Nachricht „Destination Unreachable“ zu antworten, was ihn überlasten kann.
  • HTTP-Flood: Dies ist ein Schicht-7-Angriff, der darauf abzielt, einen Webserver oder eine Anwendung zu überlasten, indem massenhaft legitime oder legitime erscheinende HTTP-Anfragen gesendet werden.
  • Slowloris: Bei dieser Art von Angriff hält ein Angreifer Verbindungen zum Zielwebserver mit minimalen Ressourcen für eine lange Zeit offen, wodurch neue Verbindungen blockiert werden, ohne den Server vollständig auszulasten.
  • Zero-Day-Angriffe: Hierbei nutzen Angreifer bisher unbekannte Sicherheitslücken in Software oder Hardware, um DDoS-Angriffe auszuführen, gegen die noch keine spezifischen Schutzmaßnahmen existieren.

Jede Art von DDoS-Angriff nutzt spezifische Schwachstellen oder Eigenschaften des Netzwerks oder der Anwendungen, um maximalen Schaden zu verursachen. Die Verteidigung gegen solche Angriffe erfordert eine Kombination aus vorbeugenden Maßnahmen, wie der Einrichtung von Scrubbing Centern, und der ständigen Überwachung des Netzwerkverkehrs.

DDoS Origin Protection bezieht sich auf Sicherheitsmaßnahmen und -strategien, die darauf abzielen, die Ursprungsinfrastruktur einer Website oder eines Online-Dienstes vor Distributed Denial of Service (DDoS)-Angriffen zu schützen. Die „Origin“ oder Ursprungsinfrastruktur bezeichnet die primären Server und Ressourcen, auf denen die Anwendungen, Dienste oder Inhalte gehostet werden. Diese können Datenzentren, Cloud-basierte Ressourcen oder spezifische Webserver umfassen. Da DDoS-Angriffe darauf abzielen, diese Ressourcen durch Überlastung mit beträchtlichem Datenverkehr unzugänglich zu machen, zielt die Origin Protection darauf ab, diese kritischen Infrastrukturen vor Ausfallzeiten und Leistungsproblemen zu bewahren.

DDoS Origin Protection umfasst verschiedene Technologien und Ansätze, darunter:

  • Anycast-Netzwerkverteilung: Die Verteilung des Datenverkehrs über mehrere Server und Datenzentren hinweg, um die Last zu verteilen und die Auswirkungen eines Angriffs zu minimieren.
  • Rate Limiting und Traffic Shaping: Die Begrenzung der Rate von Anfragen, die an einen Server gesendet werden, und die Anpassung des Datenverkehrs, um Anomalien und Spitzenbelastungen zu verwalten, die auf einen DDoS-Angriff hindeuten könnten.
  • Web Application Firewalls (WAFs): Diese identifizieren und blockieren schädlichen Verkehr, der auf Anwendungen abzielt, und bieten Schutz auf Anwendungsebene gegen bestimmte Arten von DDoS-Angriffen.
  • Scrubbing Center: Wie bereits erwähnt, filtern diese spezialisierten Datenzentren schädlichen Verkehr heraus, bevor er die Ursprungsinfrastruktur erreicht, und lassen nur legitimen Datenverkehr durch.
  • Verhaltensbasierte Erkennung: Die Nutzung fortschrittlicher Analysetechnologien, um normales Verkehrsverhalten zu lernen und ungewöhnliche Muster oder Spitzen, die auf DDoS hinweisen könnten, schnell zu erkennen.
  • Geo-Blocking und IP-Whitelisting: Das Blockieren von Verkehr aus spezifischen geografischen Regionen oder das ausschließliche Zulassen von Verkehr aus vertrauenswürdigen IP-Adressbereichen.
  • Redundanz und Failover-Systeme: Die Einrichtung redundanter Systeme und automatischer Failover-Mechanismen, um bei einem Angriff die Verfügbarkeit zu erhalten.

DDoS Origin Protection ist ein wesentlicher Bestandteil der Gesamtstrategie zur Absicherung von Online-Diensten und -Anwendungen, da sie hilft, die Verfügbarkeit und Zuverlässigkeit kritischer Dienste auch im Falle eines großangelegten DDoS-Angriffs zu gewährleisten. Es ist wichtig, dass Organisationen eine mehrschichtige Verteidigungsstrategie verfolgen, die verschiedene Schutzmechanismen integriert, um sich gegen die breite Palette von DDoS-Angriffstechniken zu verteidigen.

Zur Abwehr von DDoS-Angriffen setzen viele Anbieter auf die Umleitung der IP-Adresse einer betroffenen Domain zu einer eigenen IP. Ein Nachteil dieser Methode ist die Abhängigkeit des Seitenbetreibers vom jeweiligen Anbieter. Zudem besteht weiterhin das Risiko eines Angriffs auf die ursprüngliche IP-Adresse, die durch DNS-Einstellungen wie MX-Records oft offenliegt. Im Gegensatz dazu verzichtet cloudshift® auf IP-Renumbering. Bei den DDoS-Mitigationsdiensten von cloudshift® bleibt die ursprüngliche IP-Adresse der Domain unverändert, wodurch die genannten Nachteile umgangen werden.

Sie haben Fragen oder benötigen ein individuelles Angebot?

Unsere Cloud-Expertinnen und Experten beantworten gerne Ihre Fragen rund um Konzeption, Implementierung und den Betrieb Ihrer Anwendungen in der Cloud. Wir freuen uns auf Ihre Anfrage!

Jetzt beraten lassenTelefontermin vereinbaren

hallo@cloudshift.de

+49 69 17 53 73 46 - 0

Mo. bis Fr. 9 bis 17 Uhr