Was ist ein Denial of Service (DoS)?

Veröffentlicht: 2023-03-08

Wenn Ihre Website nicht erreichbar ist, Ihre Protokolldateien sich füllen und Ihre Ressourcenauslastung auf Ihrem Server das Maximum erreicht, befinden Sie sich möglicherweise mitten in einem Denial-of-Service-Angriff. Diese lästigen Angriffe können verheerende Auswirkungen auf Ihre Marketingaktivitäten haben und die Verfügbarkeit Ihrer Website beeinträchtigen. Wenn Sie sich mitten in einem Denial-of-Service-Angriff oder einem verteilten Denial-of-Service-Angriff befinden, brauchen Sie sich keine Sorgen zu machen. Es gibt Möglichkeiten, diese Angriffe abzuschwächen und die Kontrolle über Ihre digitale Präsenz zurückzugewinnen.

Ein Denial-of-Service-Angriff ist einer der frühesten bekannten und häufigsten Cyberangriffe auf Websites und Webanwendungen. Es spielt keine Rolle, ob Sie ein kleines Unternehmen oder ein großes Fortune-100-Unternehmen sind, die Technologie, die Ihre Website der Öffentlichkeit zur Verfügung stellt, ist im Wesentlichen dieselbe. Die Größe Ihres Unternehmens spielt für Angreifer keine Rolle, wenn sie Sie mit einem DoS-Angriff angreifen. Böswillige Angreifer verwenden dieselben Methoden, um Ihr Unternehmen zu stören, und haben häufig ähnliche Motive, unabhängig davon, wie groß oder klein Ihr Unternehmen ist.

In diesem umfassenden Leitfaden zu Denial-of-Service-Angriffen lernen Sie die Methoden kennen, die Angreifer verwenden, um Websites und ganze Netzwerke lahmzulegen, wie Sie einen DoS- oder DDOS-Angriff auf Ihr Unternehmen erkennen, wie Sie ihn erfolgreich abwehren können und wie Sie dies sicherstellen können Ihre Website bleibt für Ihre Kunden online.

Was ist Denial of Service (DoS)?

Ein Denial-of-Service ist ein Cyberangriff, bei dem ein System mit böswilligen Anfragen überflutet wird, um seine Verfügbarkeit für die beabsichtigten Benutzer zu verringern. Denial of Service ist ein Ressourcenerschöpfungsangriff, der die begrenzte Kapazität des Opferdienstes ausnutzt, um eingehende Anfragen anzunehmen und zu verarbeiten.

DoS-Angriffe sind sehr vielseitig und können auf verschiedene Systeme abzielen, darunter einzelne Websites und Webanwendungen, Server, Router und sogar ganze Netzwerke. Unabhängig vom Zielsystem führt ein Denial-of-Service-Angriff wahrscheinlich dazu, dass es hängen bleibt oder abstürzt, da der Pool der ihm zugewiesenen Rechenressourcen wie CPU und Arbeitsspeicher erschöpft ist.

Obwohl DoS-Angriffe bösartig sind, werden sie nicht verwendet, um die Kontrolle über die Website oder Server des Opfers zu übernehmen, wie Cross-Site-Scripting (XSS) oder SQL-Injections (SQLi). Stattdessen können Angreifer häufig die Erschöpfung von Ressourcen nutzen, um andere Arten von böswilligen Aktivitäten wie Brute-Force-Angriffe zu ermöglichen. In ähnlicher Weise können andere Cyberangriffe, die eine hohe Ressourcenauslastung auf dem Opfersystem verursachen, in die Kategorie der Denial-of-Service-Angriffe fallen.

Denial of Service

Wie funktioniert ein DoS-Angriff?

Ein Denial-of-Service-Angriff wird durchgeführt, indem ein Computer oder ein Netzwerk von Computern, die vom Angreifer kontrolliert werden, angewiesen wird, große Mengen von Anforderungen, oft fehlerhaft, an das Zielsystem zu senden. Dies führt zu einer Belastung des Webservers und anderer Ressourcen, wodurch legitime Anfragen, z. B. von Ihren Kunden, Interessenten und anderen Website-Besuchern, nicht verarbeitet werden können, was letztendlich zu einem Denial of Service führt.

Wenn ein System einem DoS-Angriff ausgesetzt ist, werden alle legitimen Anfragen, die an es gesendet werden, wahrscheinlich in die Warteschlange gestellt und schließlich verworfen, da die verfügbaren Rechenressourcen fehlen. Wenn Sie beim Besuch einer Website die Fehlermeldung Request timed out sehen, würde dies darauf hindeuten, dass der Browser aufgrund einer Überlastung des Webservers keine Verbindung zum Server herstellen konnte und daher keine weiteren Anfragen annehmen kann.

Bei der Durchführung eines DoS-Angriffs wählt der Angreifer eine Schwachstelle im Zielsystem aus und nutzt diese, um die gesendeten Anfragen so zu gestalten, dass ein größerer Bandbreitenverbrauch entsteht, der die antwortende Website überlastet und verlangsamt. Abhängig vom anvisierten Netzwerkendpunkt oder einer bestimmten Anwendung können Denial-of-Service-Angriffe die bestehende Begrenzung der Anzahl gleichzeitig verarbeitbarer Anfragen, der einem bestimmten Dienst zugewiesenen Speichermenge oder der Größe von Empfangs- und Ausgabepuffern ausnutzen. unter anderem.

Der Zweck eines DoS-Angriffs ist oft mehr als eine Dienstunterbrechung

Denial-of-Service-Angriffe zielen darauf ab, Websites und Online-Dienste lahmzulegen, indem sie für viele verschiedene Zwecke mit schädlichem Datenverkehr überflutet werden. DoS-Angriffe zielen auf viele Ressourcen ab, auf die Menschen täglich angewiesen sind, darunter Onlineshops und Marktplätze, Finanzdienstleistungen und Medien.

Denial-of-Service-Angriffe werden aus drei Hauptgründen durchgeführt:

  • Sozialaktivismus. Angreifer können Denial of Service nutzen, um die Richtlinien eines Unternehmens zu kritisieren und Organisationen für unerwünschtes Verhalten zu bestrafen.
  • Erpressung. Angreifer können versuchen, von der Möglichkeit zu profitieren, die Dienste eines Unternehmens zu stören, indem sie eine Zahlung verlangen.
  • Marktanteil erobern. Durch den Einsatz wettbewerbswidriger Geschäftspraktiken können Unternehmen versuchen, Websites von Mitbewerbern herauszunehmen, um ihren Marktanteil zu erhöhen, insbesondere während der Ferienzeit.

Während die oben genannten Gründe immer noch gültig sind, haben sich Denial-of-Service-Angriffe weiterentwickelt und werden nun verwendet, um andere Cyberangriffe zu erleichtern. Ebenso können andere Arten von böswilligen Aktivitäten zu einem Denial of Service führen. Es ist nicht ungewöhnlich, dass Kriminelle mehrere bösartige Techniken gleichzeitig einsetzen, um die raffiniertesten Cyber-Angriffe auszuführen.

Beispielsweise können Brute-Force-Angriffe und Carding-Angriffe zu einer Erschöpfung der Ressourcen führen, da viele Anfragen an die Website des Opfers gesendet werden, um unbefugten Zugriff zu erhalten oder gestohlene Daten zu validieren. Meistens werden diese Arten von Angriffen von mehreren Quellen ausgeführt, was sie zu verteilten Denial-of-Service-Angriffen macht.

Denial of Service (DoS) und Distributed Denial of Service (DDoS). Was ist der Unterschied?

Denial of Service betrifft selten nur einen Computer als Quelle eines Angriffs. Um Abwehrmaßnahmen zu vereiteln, die versuchen, böswillige Anfragen aus gültigen herauszufiltern, entscheiden sich Angreifer dafür, mehrere IP-Adressen, Systeme und Standorte zu verwenden, um die Erkennung erheblich zu erschweren. Ein DDOS- oder Distributed-Denial-of-Service-Angriff ist genau das, wonach er sich anhört: ein Angriff, der verteilte Systeme verwendet, um auf die Website oder das Netzwerk eines Opfers abzuzielen. Diese Arten von verteilten Angriffen sind viel schwieriger zu identifizieren und abzuwehren, und genau das unterscheidet DoS- und DDoS-Angriffe.

Der Hauptunterschied zwischen einem Denial-of-Service und einem verteilten Denial-of-Service ist sein Ausmaß und die Anzahl der Geräte, die für einen Angriff verwendet werden. Um einen DDoS-Angriff durchzuführen, verwendet ein Angreifer häufig ein verteiltes Netzwerk kompromittierter Computer, das als Botnet bezeichnet wird.

DDoS-Angriffe können als groß angelegte Bot-gesteuerte Ressourcenausschöpfungsangriffe definiert werden, die das Konzept des Denial of Service erweitern, indem mehrere Computersysteme verwendet werden, um einen Angriff gegen ein einzelnes Ziel durchzuführen. Es macht einen Angriff nicht nur viel gefährlicher, sondern macht es auch fast unmöglich, die Identität des Angreifers dahinter zu entdecken.

Wie Botnetze zum Zentrum von DDoS-Angriffen wurden

Botnets werden aufgebaut, indem ein kompromittiertes Gerät mit der Art von Malware infiziert wird, die im System schlummert, bis der Computer des Angreifers, bekannt als Command and Control Center (C2), weitere Anweisungen sendet. Botnet-Malware kann alle Arten von Geräten infizieren und ist oft schwer zu identifizieren und zu beseitigen. Darüber hinaus würde sich der Virus mit hoher Geschwindigkeit verbreiten und die Macht eines bestimmten Botnetzes noch weiter erhöhen.

Botnet-Besitzer vermieten oft die Rechenleistung der von ihnen aufgebauten Netzwerke kompromittierter Geräte an andere Angreifer im Dark Web, was allgemein als Attack-as-a-Service bekannt geworden ist. Dadurch wird die Durchführung eines Denial-of-Service-Angriffs einfacher und zugänglicher als je zuvor. Obwohl die Strafverfolgungsbehörden in den letzten Jahren mehrere große Botnets erfolgreich abgeschaltet haben, wachsen Botnets weiterhin schnell.

Messung der Größe eines Denial-of-Service-Angriffs

Da DoS-Angriffe eine Folge von böswilligen Anfragen darstellen, die an ein Ziel gesendet werden, können Sie ihre Größe messen, um ihr Ausmaß zu verstehen. Die Größe eines Denial-of-Service-Angriffs wird basierend auf der Menge an Datenverkehr berechnet, die an ein Opfersystem gesendet wird, und wird normalerweise in Gigabyte gemessen.

Sie entspricht auch der Bandbreite, die das Zielcomputernetzwerk während der vom Angreifer initiierten Datenübertragung verbraucht. Untersuchungen zeigen, dass die durchschnittliche Größe von Denial-of-Service-Angriffen im Jahr 2022 etwas über 5 Gigabyte lag.

3 Arten von Denial-of-Service-Angriffen

Denial-of-Service-Angriffe können je nach Zielsystem und Ausführungsmethode stark variieren. Obwohl Angreifer häufig unterschiedliche Ansätze kombinieren, können DoS-Angriffe grob in drei große Kategorien eingeteilt werden: Schwachstellenangriffe, Bandbreitenüberflutung und Verbindungsüberflutung.

Schwachstellenangriffe

Ein Schwachstellenangriff ist ein DoS-Angriff, der auf eine bestimmte Schwachstelle im System abzielt. Es beinhaltet das Senden einer Reihe gut gestalteter Nachrichten an ein Betriebssystem oder eine anfällige Anwendung, die auf einem Zielhost ausgeführt wird. Mit der richtigen Paketfolge kann der Dienst stoppen oder der gesamte Host zusammenbrechen. Pufferüberlaufangriffe sind eines der bekanntesten Beispiele für Schwachstellenangriffe.

Bandbreitenüberschwemmung

Bandwidth Flooding zielt auf die Bandbreite des Opfersystems ab, indem es die Infrastruktur mit Anfragen überschwemmt, um die Kapazität des Servers zu erschöpfen, um Datenverkehr aus dem Netzwerk zu akzeptieren. Ein Angreifer leitet viele Pakete an das Zielsystem weiter, was dazu führt, dass die Zugriffsverbindung des Ziels verstopft wird, wodurch verhindert wird, dass legitime Pakete jemals den Server erreichen.

Bandwidth Flooding nutzt weitgehend das Store-and-Forward-Übertragungsprinzip der Paketvermittlung aus, um Ausgangspuffer zu überlasten. Store-and-Forward-Übertragungen schreiben vor, dass Router ein ganzes Paket empfangen müssen, bevor sie es an das Ziel weiterleiten. Jedes Paket wird im Ausgangspuffer gespeichert, und die Größe des Pufferspeicherplatzes ist begrenzt. Wenn der Ausgangspuffer voller Pakete ist, die auf die Übertragung warten, führt dies zu Paketverlusten und macht das Zielsystem unerreichbar.

Verbindungsflutung

Connection Flooding Denial-of-Service-Angriffe zielen häufig auf einen bestimmten Dienst ab, z. B. einen Web- oder Mailserver, der verwendet wird, um Funktionen für eine bestimmte Website oder Webanwendung bereitzustellen. Der Angreifer baut dann viele Verbindungen zum Zielhost auf, sodass er keine legitimen Anfragen mehr akzeptiert. SYN, HTTP, ICMP Floods und Slowloris sind einige Beispiele für Connection Flooding-Angriffe.

Es ist wichtig zu beachten, dass sich diese drei Kategorien nicht gegenseitig ausschließen und dazu da sind, Denial-of-Service-Angriffe zu trennen, basierend auf dem Ansatz eines Angreifers, dem Teil des Systems, den er anvisiert. Diese Ansätze definieren den Weg, den der Kriminelle einschlagen muss, und jeder von ihnen führt dazu, dass er die Rechenressourcen des Opfersystems erschöpft.

3 Haupt-DoS-Angriffe auf WordPress

Als dynamische Webanwendung ist WordPress auf die Fähigkeit des Servers angewiesen, eingehende Anfragen zu empfangen und zu verarbeiten, um Inhalte für Website-Besucher bereitzustellen. Und wenn ein Angreifer nicht den gesamten Server mit einem Denial-of-Service-Angriff auf niedrigerer Ebene wie UDP- oder ICMP-Flood überlasten möchte, zielen sie auf den HTTP-Server ab, der auf eingehende Anfragen sowohl auf Port 80 (HTTP) als auch auf Port 443 (HTTPS) wartet. . Dies wird wahrscheinlich Apache, Nginx oder LiteSpeed ​​sein.

Es gibt drei Haupttypen von Denial-of-Service-Angriffen, die verwendet werden, um eine bestimmte Website herunterzufahren oder sie durch unterschiedliche Ansätze extrem zu verlangsamen: HTTP-Floods, SYN-Floods und Slowloris

HTTP-Flut

HTTP-Floods nutzen die Begrenzung der Anzahl von HTTP-Anforderungen, die vom Ziel-Webserver innerhalb einer bestimmten Zeit verarbeitet werden können. Schauen wir uns genauer an, wie das funktioniert.

Alle Webserver sind so konfiguriert, dass die Anzahl der gleichzeitig akzeptierten Verbindungen und die Anzahl der HTTP-Anforderungen, die sie verarbeiten können, beschränkt sind. Genauer gesagt gibt es eine Grenze für die Anzahl der Prozesse, die ein Webserver erstellen kann, und für die Anzahl der Anforderungen, die jeder erfüllen kann, bevor ein neuer an seiner Stelle gedreht wird.

Standardmäßig erstellen Webserver eine kleine Anzahl von Prozessen, und diese Anzahl erhöht sich, wenn mehr Datenverkehr empfangen wird. Neben dem hohen Speicherverbrauch führt die häufige Erstellung neuer HTTP-Prozesse, sogenannter Request Worker, zwangsläufig zu einer erhöhten Auslastung der CPU-Zeit.

Wenn die Anzahl der eingehenden Anfragen die Gesamtkapazität des Webservers übersteigt, werden einige von ihnen in die Warteschlange gestellt und schließlich verworfen, was dazu führt, dass im Browser ein Verbindungszeitüberschreitungsfehler angezeigt wird. Bei einer HTTP-Flut kann ein Angreifer Tausende von HTTP-Anfragen pro Sekunde an die Website des Opfers senden.

SYN-Flut

SYN-Flood ist ein DoS-Angriff, der einen Webserver überwältigt, indem er den von TCP verwendeten Drei-Wege-Handshake ausnutzt – das zugrunde liegende Transportschichtprotokoll, das von HTTP und HTTPS verwendet wird. Da HTTPS auf TLS angewiesen ist, um TCP zu verbessern, wodurch dem Prozess des Aufbaus der anfänglichen Verbindung eine zusätzliche Sicherheitsebene hinzugefügt wird, die diese erheblich verlängert, werden die meisten Denial-of-Service-Angriffe über HTTP durchgeführt.

Während HTTP-Floods verwendet werden, um einen Server mit Anfragen zu überfluten, besteht das Hauptziel einer SYN-Flood darin, das System dazu zu bringen, Ressourcen halboffenen Verbindungen zuzuweisen, bis zu dem Punkt, an dem es zu überlastet wird, um legitime Anfragen zu erfüllen. Um dies zu erreichen, würde ein Angreifer eine Reihe von SYN-Segmenten an den Webserver senden.

Meistens verweist der Host des Angreifers auf ein völlig anderes System als das, von dem die Anfrage kommt, um den Server des Opfers dazu zu bringen, das Bestätigungspaket an ein anderes Ziel zu senden als an den Computer, der die Verbindung initiiert hat. Auf diese Weise würde der dritte Schritt des Handshakes niemals abgeschlossen, nachdem der Server mit einem Bestätigungspaket geantwortet hätte.

Mit dieser Flut von SYN-Segmenten sind die Ressourcen des Opferservers schnell erschöpft, da sie für eine große Anzahl halboffener Verbindungen zugewiesen werden, während legitimen Website-Besuchern der Dienst verweigert wird.

In modernen Systemen wird diese Schwachstelle teilweise durch die Implementierung von Syn-Cookies behoben, einem Mechanismus, der verhindert, dass einer Verbindung Ressourcen zugewiesen werden, bevor sie ein Bestätigungssegment erhält und überprüft, ob es von dem Host stammt, von dem die Anfrage ursprünglich gesendet wurde. Dieser Mechanismus verhindert jedoch nicht vollständig, dass Syn Floods auftreten, und diese Angriffe bleiben immer noch eine Bedrohung für Websites und Webanwendungen.

Langsam

Slowloris ist eine andere Art von Denial-of-Service-Angriff auf Anwendungsebene, der auf WordPress-Websites abzielt. Es verlangsamt einen Webserver effektiv, indem es mehrere HTTP-Verbindungen von derselben IP-Adresse herstellt und sie so lange wie möglich offen hält.

Standardmäßig beendet ein Webserver eine HTTP-Verbindung, wenn für einen bestimmten Zeitraum keine Anfragen gesendet werden. Um dies zu verhindern und die Verbindung offen zu halten, sendet der Angreifer regelmäßig unvollständige oder fehlerhafte Anfragen. Durch die Verlängerung der Dauer jeder böswilligen Verbindung können Slowloris-Angriffe das System leicht überlasten und die Website des Opfers erheblich verlangsamen.

Wie erkennt man einen Denial-of-Service-Angriff?

Im Gegensatz zu anderen Cyberangriffen sind Denial-of-Service-Angriffe unabhängig von der Zielressource relativ einfach zu erkennen. Hier sind die drei gängigen Gruppen von Indikatoren für einen laufenden DoS-Angriff, der auf eine Website, einen Server oder ein Netzwerk abzielt.

Website-Level-Indikatoren

Wenn Ihre Website einem Denial-of-Service-Angriff ausgesetzt ist, werden Sie einen bemerkenswerten Leistungsabfall feststellen, der von einem plötzlichen Anstieg des Datenverkehrs begleitet wird. Das Laden einer Website kann sehr lange dauern oder Fehlermeldungen wie „ERR_CONNECTION_TIMED_OUT“ oder „503 Service Unavailable“ ausgeben.

Anzeigen auf Serverebene

Wenn Sie Zugriff auf den Server haben, auf dem Ihre Website gehostet wird, werden Sie bei der Anmeldung feststellen, dass dieser stark ausgelastet ist, was bedeutet, dass mehr Prozesse aktiv CPU-Zeit beanspruchen, als der Server derzeit verarbeiten kann. Die Lastzahl gibt an, wie viele Prozesse auf die Aufmerksamkeit der CPU warten.

Wenn eine WordPress-Site angegriffen wird, stellen Sie bei näherer Betrachtung möglicherweise eine übermäßige Menge an ausgeführten HTTP- und PHP-Prozessen fest. Beachten Sie, dass Ihr Datenbankserver viel CPU-Zeit zum Verarbeiten von Abfragen benötigt.

Indikatoren auf Netzwerkebene

Netzwerküberwachung und -wartung fallen in den Verantwortungsbereich eines Hosting-Anbieters, der sicherstellen muss, dass Core-Router den gesamten eingehenden Datenverkehr ohne nennenswerte Latenz verarbeiten können. Kleinere DoS-Angriffe werden von ihrer Seite aus selten bemerkt und darauf reagiert. Wenn jedoch ein massiver Denial-of-Service-Angriff auf eine Website oder einen Server abzielt und sich auf andere Hosts auswirkt, wird Ihr Hosting-Provider Maßnahmen ergreifen.

Eine der effektivsten Möglichkeiten, einen Angriff abzuwehren, der das gesamte Netzwerk betrifft, besteht darin, den angegriffenen Host auf Null zu routen, bis die böswillige Aktivität nachlässt. Null-Routing eines Servers bedeutet, dass er vorübergehend aus dem Netzwerk entfernt wird, indem alle eingehenden Pakete verworfen werden, sodass er nicht mehr über das Internet erreichbar ist.

So mindern Sie einen DoS-Angriff in 3 Schritten

Die Abwehr von Denial-of-Service-Angriffen umfasst die Analyse des eingehenden Datenverkehrs und das Blockieren bösartiger Anfragen, indem aggressivere Firewall-Regeln aktiviert und der Zugriff auf bestimmte IP-Adressen und IP-Bereiche manuell verweigert wird. Die Kombination dieser beiden Ansätze ist ein Industriestandard für den Umgang mit anhaltenden Ressourcenerschöpfungsangriffen. Sehen wir uns den Vorgang Schritt für Schritt an.

Analysieren Sie den eingehenden Datenverkehr

Die Analyse des eingehenden Datenverkehrs in Echtzeit kann Ihnen dabei helfen, die Situation einzuschätzen und die Art des Denial-of-Service-Angriffs zu identifizieren, mit dem Ihr Server heruntergefahren wurde. Es ist am besten, Systemzugriff auf den Server zu haben, auf dem Ihre Website gehostet wird, aber Sie können auch andere Quellen verwenden, z. B. die Protokolle, die Cloud-basierte Webanwendungs-Firewalls führen.

Mit Root-Zugriff auf den Server können Sie Netzwerkdiagnosetools wie Socket Statistics (ss) und tcpdump sowie die Domänenprotokolle (domlogs) Ihres Webservers verwenden. Dieser Ansatz hilft Ihnen zu verstehen, wie viel schädlicher Datenverkehr an den Server gesendet wird und auf welche Websites und spezifischen URLs der Angreifer abzielt.

Im Falle eines Distributed-Denial-of-Service-Angriffs kommt schädlicher Datenverkehr aus mehreren Quellen. Die meisten Angriffe werden jedoch immer noch von einer relativ kleinen Anzahl von Geräten aus durchgeführt. In den meisten Fällen sollten Sie in der Lage sein, einige problematische IP-Bereiche zu identifizieren.

Wenn es um WordPress-Sites geht, zielen Denial-of-Service-Angriffe häufig auf die Anmeldeseite des WordPress-Administrators und XML-RPC ab. Bei der Analyse der letzten Webserveraktivität werden Sie viele GET- und POST-Anforderungen sehen, die an wp-login.php, wp-admin und xmlrpc.php gerichtet sind.

Aktivieren Sie Ratenbegrenzung und aggressivere Firewall-Regeln

Firewalls fungieren auf verschiedenen Ebenen des OSI-Netzwerkmodells (Open Systems Interconnection) als erste Verteidigungslinie für Ihre Website. Durch die Aktivierung aggressiverer Firewall-Regeln können Sie einen Denial-of-Service-Angriff erfolgreich abwehren.

Der allgemeine Ansatz umfasst die Aktivierung der Ratenbegrenzung – die Begrenzung der Anzahl der Verbindungen, die von einer IP-Adresse in einem bestimmten Zeitraum geöffnet werden, und das Herausfiltern des eingehenden Datenverkehrs basierend auf einer Reihe anderer Parameter, wie z. B. dem Reputationswert einer IP-Adresse oder dem Land Herkunft und mehr.

Mindern Sie einen Denial-of-Service-Angriff mit der ConfigServer-Firewall

Wenn Sie ConfigServer Firewall (CSF) verwenden – eine iptables-basierte Software-Firewall, können Sie den eingehenden Datenverkehr begrenzen, indem Sie die CT_Limit-Konfiguration auf den gewünschten Wert setzen. Wenn Sie CT_PORTS auf 80 und 443 setzen, wird die Ratenbegrenzung nur auf die Ports beschränkt, die Ihr Webserver überwacht. Mit CSF können Sie auch SYNFLOOD_RATE konfigurieren – die Anzahl der pro IP-Adresse pro Sekunde zulässigen SYN-Pakete.

Bitte beachten Sie, dass eine aggressive Ratenbegrenzung unweigerlich dazu führt, dass legitime Anfragen blockiert werden, und daher nur implementiert werden sollte, wenn Ihr Server angegriffen und kurz nach erfolgreicher Abwehr deaktiviert wird. Spezifische Firewall-Regeln lassen Sie am besten von einem erfahrenen Systemadministrator konfigurieren.

Verwenden Sie Cloudflare WAF, um einen DoS-Angriff abzuschwächen

Cloudflare kann Ihnen dabei helfen, einen Denial-of-Service-Angriff auf Website-Ebene erfolgreich abzuschwächen, indem es den „Under Attack“-Modus aktiviert, den das Content-Delivery-Netzwerk anbietet. Als Teil dieses integrierten Tools zur Abwehr von Angriffen implementiert Cloudflare zusätzliche Traffic-Analysemethoden und stellt jeden Besucher vor eine JavaScript-basierte Herausforderung.

Darüber hinaus kann Cloudflare schädlichen Datenverkehr basierend auf einer Reihe von verwalteten Regelsätzen und IP-Reputationswerten herausfiltern, die von Project Honey Pot gesammelt wurden. Setzen Sie die Cloudflare-Sicherheitsstufe auf Hoch, um den gesamten eingehenden Datenverkehr von IP-Adressen mit einem Bedrohungswert über 0 zu blockieren.

Blockieren Sie schädlichen Bot-Traffic

Während neu implementierte Firewall-Regeln die überwiegende Mehrheit der böswilligen Anfragen erfolgreich herausfiltern sollten, wird das Blockieren anstößiger IP-Adressen und IP-Bereiche das System dazu zwingen, alle Pakete aus bestimmten Quellen zu verwerfen, ohne dass die Firewall jede Anfrage untersuchen muss. Das Blockieren böswilligen Datenverkehrs durch Verweigerung des Zugriffs auf den Server für bestimmte IP-Adressen spart Serverressourcen und trägt dazu bei, dass Ihre Website viel schneller voll funktionsfähig ist.

Wie kann Denial-of-Service verhindert werden? Top 3 Empfehlungen für WordPress

WordPress-Sites haben für Hacker nach wie vor hohe Priorität und werden häufig zum Ziel von Denial-of-Service- und Brute-Force-Angriffen. Und obwohl das System ein hohes Maß an Schutz vor Malware-basierten Angriffen und Dateneinschleusungsangriffen bietet, benötigen Sie zusätzliche Sicherheitsmaßnahmen, um sich gegen Angriffe auf Ressourcenerschöpfung zu wehren.

Im Folgenden stellen wir die drei wichtigsten WordPress-Sicherheitsempfehlungen zur Verfügung, die implementiert werden müssen, um Denial of Service zu verhindern. Durch die Installation robuster verwalteter Firewall-Regelsätze, die Konfiguration von HTTP/2 und die Beschränkung des Zugriffs auf WordPress-Login und XMLRPC wird die Wahrscheinlichkeit, Opfer von HTTP-Floods, SYN-Floods und Slowloris-Angriffen zu werden, erheblich verringert.

Konfigurieren Sie robuste verwaltete Firewall-Regelsätze

Sowohl hostbasierte als auch cloudbasierte Web Application Firewalls (WAF) unterstützen die Installation verschiedener verwalteter Regelsätze, die speziell für den Schutz vor Denial-of-Service- und anderen gefährlichen Cyberangriffen entwickelt wurden. Verwaltete Regelsätze werden von bekannten Sicherheitsanbietern gepflegt und regelmäßig aktualisiert.

Einer der robustesten verwalteten Firewall-Regelsätze ist der von der OWASP Foundation entwickelte OWASP Core Rule Set. Der Regelsatz ist mit den meisten Host- und Cloud-basierten WAFs kompatibel, einschließlich ModSecurity – der beliebtesten hostbasierten Web Application Firewall (WAF), die auf Linux-Servern installiert ist.

Verwenden Sie HTTP/2

HTTP/2 ist eine neue Spezifikation des HTTP-Protokolls, die darauf abzielt, die Latenz zu reduzieren und die Bereitstellung von Inhalten zu beschleunigen, indem einige Mängel des Vorgängers behoben werden. HTTP/2 eliminiert die Notwendigkeit, mehrere Verbindungen zu öffnen, um eine einzelne Webseite bereitzustellen, indem es dem Webserver ermöglicht, mehrere Antworten für eine einzelne Anfrage zu senden.

Die Verwendung von HTTP/2 kann die Auslastung von Serverressourcen erheblich reduzieren, was zu erheblichen Leistungsverbesserungen führt. Dies kann dazu beitragen, kleinen Denial-of-Service-Angriffen zu widerstehen, ohne dass zusätzliche Schutzmaßnahmen ergriffen werden müssen.

Reduzieren Sie die Angriffsfläche

Website-Sicherheitsangelegenheiten und Sicherheitsmaßnahmen auf Website-Ebene sind äußerst wichtig.

Sie können sich gegen die meisten Cyberangriffe, einschließlich Denial of Service, verteidigen, indem Sie den Zugriff auf die kritischen Bereiche Ihrer WordPress-Website wie XMLRPC und WordPress-Login einschränken. Wie wir bereits besprochen haben, sind dies die beiden häufigsten Ziele von DoS- und Brute-Force-Angriffen auf WordPress-Sites.

Zu den Best Practices für die WordPress-Sicherheit gehören die Deaktivierung von XML-RPC und die Beschränkung des Zugriffs auf die WordPress-Anmeldung auf eine Liste vertrauenswürdiger IP-Adressen und IP-Bereiche. Die Aktivierung der Zwei-Faktor-Authentifizierung ist ebenso wichtig, um zu verhindern, dass böswillige Akteure unbefugten Zugriff auf Ihre Website erhalten und sie herunterfahren.

Ergänzen Sie Ihre Verteidigung mit iThemes Security Pro

iThemes macht WordPress-Sicherheit für jedermann zugänglich. iThemes Security Pro bietet dreißig Möglichkeiten, Ihre WordPress-Site vor allen bekannten Cyberangriffen zu schützen. Mit fortschrittlicher Sicherheitsüberwachung und Schwachstellen-Scanning rund um die Uhr ergreift iThemes Security Pro automatisch Maßnahmen in Ihrem Namen, um automatisierte Angriffe zu stoppen, böswillige Akteure zu blockieren und kritische Bereiche Ihrer Website zu schützen.

Wenn Sie mehrere WordPress-Sites verwalten, hilft iThemes Sync Pro bei der Automatisierung routinemäßiger Verwaltungsaufgaben, indem es ein einziges Management-Dashboard mit Betriebszeitüberwachung und erweiterten Analysen bereitstellt. Und während Sie diese persönlichen Website-Assistenten in Ihrem Team haben, hilft Ihnen iThemes Training, ein WordPress-Experte zu werden und Ihr Unternehmen auf die nächste Stufe zu bringen.

Das beste WordPress-Sicherheits-Plugin zum Sichern und Schützen von WordPress

WordPress betreibt derzeit über 40 % aller Websites, sodass es zu einem leichten Ziel für Hacker mit böswilligen Absichten geworden ist. Das iThemes Security Pro-Plug-in beseitigt das Rätselraten bei der WordPress-Sicherheit, um es einfach zu machen, Ihre WordPress-Website zu sichern und zu schützen. Es ist, als hätten Sie einen Vollzeit-Sicherheitsexperten im Team, der Ihre WordPress-Site ständig für Sie überwacht und schützt.

Holen Sie sich iThemes Security Pro