Sie haben im Allgemeinen einen sehr vielschichtigen Ansatz. Hier sind einige Dinge, die ich in großen Organisationen implementiert oder implementiert habe. Für Ihre spezielle Frage zu kleineren Unternehmen würden Sie im Allgemeinen einen Drittanbieter finden, der Sie schützt. Abhängig von Ihrem Anwendungsfall kann dies ein Cloud-Anbieter, ein CDN, eine BGP-Routing-Lösung oder eine DNS-basierte Lösung sein.

Bandbreitenüberzeichnung - Diese ist ziemlich einfach. Wenn Sie größer werden, sinken Ihre Bandbreitenkosten. Im Allgemeinen werden große Unternehmen eine erheblich größere Kapazität leasen, als sie für Wachstums- und DDoS-Angriffe benötigen. Wenn ein Angreifer nicht in der Lage ist, genügend Verkehr aufzubringen, um dies zu überwältigen, ist ein volumetrischer Angriff im Allgemeinen unwirksam.

Automatisierte Schadensbegrenzung - Viele Tools überwachen Netflow-Daten von Routern und anderen Datenquellen, um eine Basis für den Datenverkehr zu ermitteln. Wenn Verkehrsmuster aus diesen Zonen austreten, können DDoS-Minderungstools den Verkehr mithilfe von BGP oder anderen Mechanismen anlocken und Rauschen herausfiltern. Sie leiten dann den sauberen Verkehr weiter in das Netzwerk. Diese Tools können im Allgemeinen sowohl volumetrische Angriffe als auch heimtückischere Angriffe wie Slowloris erkennen.

Upstream-Blackholing - Es gibt Möglichkeiten, den UDP-Verkehr mithilfe des Router-Blackholing zu filtern. Ich habe Situationen gesehen, in denen ein Unternehmen keinen UDP-Verkehr (d. H. NTP und DNS) zu seiner Infrastruktur empfangen muss, sodass die Transitanbieter den gesamten Verkehr mit Blackhole versehen. Die größten volumetrischen Angriffe sind im Allgemeinen NTP- oder DNS-Verstärkungsangriffe.

Drittanbieter - Selbst viele ziemlich große Unternehmen befürchten, dass Monster mit 300 Gbit / s angreifen. Sie implementieren häufig entweder einen DNS-basierten Umleitungsdienst oder einen BGP-basierten Dienst, um sie zu schützen, falls sie einen anhaltenden Angriff erleiden. Ich würde sagen, dass auch CDN-Anbieter unter diesen Dach fallen, da sie einer Organisation helfen können, während eines Angriffs online zu bleiben.

Systemhärtung - Sie können häufig sowohl Ihr Betriebssystem als auch Ihre Anwendungen so konfigurieren, dass sie gegenüber DDoS-Angriffen auf Anwendungsebene widerstandsfähiger sind. Dinge wie die Sicherstellung, dass auf Ihrem Linux-Server genügend Inodes vorhanden sind, um die richtige Anzahl von Apache-Worker-Threads zu konfigurieren, können es einem Angreifer erschweren, Ihren Dienst herunterzufahren.

Obwohl es für DDOS keine wirklichen Gegenmaßnahmen gibt, gibt es Möglichkeiten, dies zu kontrollieren.
Erstens wird ein Content Delivery Network verwendet, bei dem mehrere Rechenzentren auf der ganzen Welt für die Bereitstellung von Inhalten verwendet werden Besucher aus verschiedenen geografischen Gebieten. Dies hilft, Single Point of Failure zu eliminieren, und macht es schwieriger, Ressourcen zu erschöpfen oder die Verbindungen zu sättigen und die Angriffslast auszugleichen.
Eine andere Möglichkeit besteht darin, eng mit wichtigen Backbones, ISPs und entsprechenden Organisationen zusammenzuarbeiten, um die IPs der Angreifer optimal zu blockieren ein bestimmtes Netzwerk wie möglich, um zu verhindern, dass der Datenverkehr seine Ziele erreicht. Hoffentlich hilft es.

Als mittelständisches Unternehmen verwenden wir einen DOS-Minderungsdienst, um das Risiko zu verringern, dass unsere Website offline geschaltet wird. Unsere Website wird in die IP-Adresse des Anbieters aufgelöst. Der Anbieter leitet die Anfrage dann an unseren Webserver weiter. Unser Webserver kommuniziert nur mit dem Anbieter.

Mithilfe ihrer Tools können sie mithilfe verschiedener Überwachungs- und Korrelationstools feststellen, ob es sich bei bestimmten Angriffen um tatsächliche Angriffe handelt. Wenn von einem Angriff ausgegangen wird, leitet der Anbieter die Anfrage nicht an unsere Webserver weiter und nimmt den Angriff auf. Um diese Art der Schadensbegrenzung durchführen zu können, muss Ihre Kapazität die des Angreifers überschreiten. Bei größeren Unternehmen, die normalerweise eine größere Bandbreitenkapazität erwarten, würde ich erwarten, dass sie entweder an ISPs auslagern oder ein internes System erstellen, um dieselbe Minderungsstrategie durchzuführen.

Mein Unternehmen hat sich mit DDoS-Angriffen mit bis zu 180 Gbit / s befasst. Hier sind meine Techniken, die ich zur Abschwächung verwendet habe.

Die Größe einer Website macht sie nicht nur zu einem größeren Ziel, sondern spielt auch eine wichtige Rolle:

• Öffentlichkeitsarbeit (Vermarkten Sie sich selbst als etwas Sie sind nicht, auf welche Personen Sie abzielen.
• Versprechen einhalten
• Kunden richtig behandeln

Zu den Motiven für DDoS-Angriffe gehören, aber sind nicht beschränkt auf Folgendes:

• Ruhm ("Oh, sieh mich an, ich habe es geschafft, diese Seite herunterzufahren")
• Geld (Größere Seiten sind teurer anzugreifen, Wenn sie nach Geld suchen, zielen sie im Allgemeinen auf kleinere Unternehmen mit hohen Einnahmen ab, die kein großes technisches Team haben.
• Aktivismus

Auch (aus einem der Kommentare) :

• Ein weiteres Motiv ist, dass sie versuchen, Sie abzulenken. Wenn sie beispielsweise Apache angreifen möchten, damit Sie das Problem beheben können, während sie Ihr SSH-Kennwort brutal erzwingen.

Es gibt viele verschiedene Arten von DDoS-Angriffen und deren Initiierung Um die oben aufgeführten Punkte in der richtigen Reihenfolge zu erhalten, werden Ihre DDoS-Angriffe wahrscheinlich abnehmen. Dies bedeutet nicht, dass Sie sie nicht mehr erleben werden. Sie geben den Menschen einfach weniger Motive, Sie anzugreifen.

Auf technischer Ebene sind mehrere Dinge zu beachten, da die meisten Unternehmen mehrere Knoten in ihrer Infrastruktur haben. In einigen Fällen erfordert jeder Knoten einen anderen Ansatz. In meinem Fall waren diese Knoten eine API, ein Spieleserver, ein Authentifizierungsserver, eine Datenbank und ein sozialer Server. Schritt 1 bestand darin, sicherzustellen, dass Sie niemals eine IP-Adresse offenlegen, die nicht offengelegt werden muss. In meinem Fall waren dies der Authentifizierungsserver, die Datenbank und der soziale Server. Im Allgemeinen ist die Begrenzung der Fehlerquellen zunächst ein guter Ansatz. Schutz ist unglaublich teuer und es ist nur gut, den widerstandsfähigsten Schutz dort zu haben, wo Sie ihn wirklich am dringendsten benötigen.

Nachdem Sie festgelegt haben, welche Punkte öffentlich sein müssen, können Sie jede Funktion einzeln so schützen, wie sie geschützt werden muss. Theterriblevitrium gab eine ausgezeichnete Antwort auf Techniken, hier sind meine 2 Cent auf diese.

• Anycast (Zum Beispiel ein CDN. Dies funktioniert unglaublich gut für statische Knoten wie lokale APIs, DNS-Server und Webserver. Der Nachteil dabei ist, dass dies der Fall ist Derzeit funktioniert dies nicht effektiv für Systeme mit einem einzigen Fehlerpunkt, z. B. Spieleserver.
• Netzwerkregeln & Packet Inspection (EG: Jede Verbindung kann nur X KB Datenverkehr pro Sekunde aufnehmen, und jedes Paket sollte übereinstimmen Muster x, y oder z. Dies hat bei unseren Spielen gut funktioniert. Der Nachteil ist, dass Sie kein Glück haben, wenn sie Ihr Bandbreitenlimit erreichen.)

Sie können jederzeit Fragen stellen !

Ich bin mir nicht sicher, ob Sie dies mit der von @theterribletrivium erwähnten automatisierten Schadensbegrenzung erreicht haben, aber sie verwenden auch Load Balancer, um den Datenverkehr gleichmäßig auf separate Server zu verteilen, damit diese so schnell wie möglich ausgeführt werden können.

Obwohl dies nicht die effektivste Methode ist, um Benutzer gleichmäßig auf Server zu verteilen, verwendet Google das sogenannte Round-Robin-DNS. Round-Robin-DNS gibt mehrere IP-Adressen zurück und der Benutzer stellt eine Verbindung zu einer dieser IP-Adressen her. Das Problem dabei ist jedoch, dass mehrere Computer dieselbe IP-Adresse für die Verbindung ermitteln können, wodurch die anderen Server schneller und nicht verwendet werden.

Sie verwenden ein ähnliches Setup für den Umgang mit den großen Informationsmengen das ist gespeichert. Google verwendet das so genannte BigTable, um Informationen zu Google Maps, Blogger, YouTube, GMail und mehr zu speichern. Es wird berichtet, dass Google Hunderttausende Server verwendet, um all diese Informationen zu speichern und ihre Websites so schnell wie möglich laufen zu lassen.

Sie verwenden Software (die sie wahrscheinlich selbst entwickelt haben), um ihre Websites zu hosten, ohne viel Speicher und CPU zu verbrauchen. Der beliebteste Webserver, Apache, wird von diesen großen Websites definitiv nicht verwendet, da er mit so hohen Lasten nicht umgehen kann und vom C10k-Problem betroffen ist. Das C10k-Problem führt dazu, dass Webserver (z. B. Apache) ausfallen und manchmal heruntergefahren werden, wenn mehr als 10.000 Verbindungen zum Webserver gleichzeitig hergestellt werden (wobei Google wahrscheinlich mehr als 10.000 Verbindungen gleichzeitig hat).

Die Server und die von ihnen verwendete Hardware stehen an erster Stelle. Laut dem Wikipedia-Artikel auf der Google-Plattform verwendet Google jedoch keine Hardware mit der besten Leistung, sondern Hardware mit dem besten Preis-Leistungs-Verhältnis.

Wenn Sie darüber nachdenken, sind Websites wie Google, Amazon, Microsoft und Apple technisch immer einem DDoS-Angriff ausgesetzt. Sie verfügen jedoch über derart fortschrittliche Technologien, dass jeder auf ihre Websites zugreifen kann, ohne heruntergefahren zu werden.