DDoS-Mitigation
Was ist DDoS-Mitigation?
DDoS-MitigationDDoS-Mitigation umfasst Techniken und Dienste, die verteilte Denial-of-Service-Angriffe absorbieren, filtern und umleiten, bevor sie Netz, Infrastruktur oder Anwendung des Ziels ueberlasten.
DDoS-Mitigation bekaempft drei Angriffsschichten: volumetrische Floods (SYN, UDP, Amplification) im Gbps- oder Tbps-Bereich, Protokollangriffe (SYN-Flood, Slowloris) und Angriffe auf Anwendungsebene gegen HTTP/HTTPS und APIs. Moderne Anbieter – Cloudflare, Akamai, Google, AWS Shield, Imperva – terminieren Traffic in global verteilten Anycast-Scrubbing-Zentren und kombinieren Signatur-, Verhaltens- und Ratenfilter mit L7-Challenges. On-Prem-Appliances und BGP-Flowspec bzw. Remotely Triggered Black Hole (RTBH) bleiben fuer ISPs und Grossunternehmen wichtig. Wirksame Mitigation verlangt Runbooks, Telemetrie-Baselines und vorab vereinbarte Burst-Kapazitaet, da die Abwehr vor Angriffsbeginn bereitstehen muss.
● Beispiele
- 01
Ein Anycast-Scrubbing-Zentrum nimmt eine 2-Tbps-UDP-Amplification-Flut an der Netzwerkkante auf.
- 02
Rate-Limits und JS-Challenges entschaerfen eine L7-HTTP-Flut gegen einen Checkout-Endpunkt.
● Häufige Fragen
Was ist DDoS-Mitigation?
DDoS-Mitigation umfasst Techniken und Dienste, die verteilte Denial-of-Service-Angriffe absorbieren, filtern und umleiten, bevor sie Netz, Infrastruktur oder Anwendung des Ziels ueberlasten. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet DDoS-Mitigation?
DDoS-Mitigation umfasst Techniken und Dienste, die verteilte Denial-of-Service-Angriffe absorbieren, filtern und umleiten, bevor sie Netz, Infrastruktur oder Anwendung des Ziels ueberlasten.
Wie funktioniert DDoS-Mitigation?
DDoS-Mitigation bekaempft drei Angriffsschichten: volumetrische Floods (SYN, UDP, Amplification) im Gbps- oder Tbps-Bereich, Protokollangriffe (SYN-Flood, Slowloris) und Angriffe auf Anwendungsebene gegen HTTP/HTTPS und APIs. Moderne Anbieter – Cloudflare, Akamai, Google, AWS Shield, Imperva – terminieren Traffic in global verteilten Anycast-Scrubbing-Zentren und kombinieren Signatur-, Verhaltens- und Ratenfilter mit L7-Challenges. On-Prem-Appliances und BGP-Flowspec bzw. Remotely Triggered Black Hole (RTBH) bleiben fuer ISPs und Grossunternehmen wichtig. Wirksame Mitigation verlangt Runbooks, Telemetrie-Baselines und vorab vereinbarte Burst-Kapazitaet, da die Abwehr vor Angriffsbeginn bereitstehen muss.
Wie schützt man sich gegen DDoS-Mitigation?
Schutzmaßnahmen gegen DDoS-Mitigation kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für DDoS-Mitigation?
Übliche alternative Bezeichnungen: DDoS-Schutz, DDoS-Scrubbing.
● Verwandte Begriffe
- network-security№ 904
Rate Limiting
Rate Limiting begrenzt die Anzahl von Anfragen, die ein Identifier (IP, User, API-Key oder Token) in einem Zeitfenster stellen darf, und schuetzt APIs und Apps vor Missbrauch, Scraping und Brute-Force.
- network-security№ 118
Bot-Management
Bot-Management erkennt automatisierten Traffic und unterscheidet gute von boesartigen Bots, um sie entsprechend zuzulassen, herauszufordern oder zu blockieren.
- network-security№ 151
CDN-Sicherheit
CDN-Sicherheit nutzt den globalen Edge eines Content-Delivery-Network – TLS-Terminierung nahe am Nutzer – um DDoS-Schutz, WAF, Bot-Management und TLS-Hygiene durchzusetzen.
- network-security№ 1219
WAAP
WAAP (Web Application and API Protection) ist die moderne Weiterentwicklung des WAF und kombiniert API-Sicherheit, Bot-Management und DDoS-Schutz in einem einheitlichen Cloud-Service.
- malware№ 119
Botnetz
Netz aus mit Malware infizierten, internetverbundenen Geräten, die ein Angreifer fernsteuert, um koordinierte Aktivitäten auszuführen.