OVH NEWS | Aktuelles, Innovationen und IT Trends








1. Dezember 2017
Teilen

Geschrieben von OVH Team


Bestmöglicher Kundenschutz an erster Stelle: OVH verstärkt seine Investitionen in Anti-DDoS-Technologien


DDoS Angriffe sind ein weltweites Phänomen, das immer häufiger und intensiver in Erscheinung tritt. Bereits vor einigen Jahren haben wir begonnen, unsere Kunden vor DDoS-Angriffen zu schützen. Um auch zukünftig auf Angriffe dieser Art bestmöglich vorbereitet zu sein, ist es erforderlich, massiv in unsere DDoS-Abwehrtechnologien zu investieren.


Ein durchschnittlicher Tag für das VAC-System (die Anti-DDoS-Technologie von OVH). Legitimer eingehender Traffic in Grün. In Rot: Unrechtmäßiger Traffic (DDoS-Angriffe), der von unserem Schutzsystem herausgefiltert wird.

 

DDoS-Angriffe, ein unvermeidbares Phänomen

Das Jahr 2013 war geprägt von einem erneuten Anstieg der DDoS-Angriffe, die alle bisherigen noch übertrafen. Das zeigt, dass wir auch unsere Schutzmaßnahmen ausbauen und weiter in Anti-DDoS-Technologien investieren müssen.

Sich alleine auf Gesetzgeber und Strafverfolgungsbehörden zu verlassen, wird nicht ausreichen, um solche Angriffe einzudämmen. Natürlich bekämpfen Staatsanwälte, Polizei und ihre spezialisierten Einheiten für Cyberkriminalität bereits dieses Phänomen. Allerdings meist erst dann, wenn der Schaden bereits entstanden ist. Und die Ermittlungen sind nicht nur in technischer Hinsicht oft langwierig und äußerst komplex. Auch die internationale Vernetzung der Angreifer, die erst diese Großangriffe ermöglicht, erschwert die Arbeit der Ermittler.

Die operative Bekämpfung von diesen Cyber-Attacken muss daher in erster Linie auf technischer Ebene geführt werden. Da wir unter anderem auch Webhosting Lösungen anbieten, gehören DDoS-Angriffe zu unserem Tagesgeschäft. Daher ist es unsere Verantwortung, angemessene Schutzmaßnahmen zu ergreifen, um die Auswirkungen dieser Attacken so gering wie möglich zu halten. Wir müssen uns heute schon auf die Angriffe von morgen vorbereiten, um es den Angreifern so schwer wie möglich zu machen. Im Jahr 2017 hatten wir durchschnittlich 2000 Angriffe pro Tag, darunter etwa zwanzig größere Attacken (Angriffe mit einigen Dutzend Gbit/s). Diese Zahl ist nie zurückgegangen und Sie wären überrascht, in welchen Ländern die meisten Bots, von denen die größten DDoS-Angriffe ausgehen, zu finden sind. Laut einem kürzlich erschienenen Artikel handelt es sich nämlich vor allem um Computer, Server, Telefone und andere Geräte mit Internetzugang im Vatikan. Im Schatten des Petersdoms befindet sich damit die höchste Dichte an Bots pro Internetnutzer auf der Welt.

DDoS-Schutz für alle: Aufteilung der Kosten der DDoS-Abwehr

Im Jahr 2013 haben wir unsere Preise um ein bis zwei Euro/Monat und Dienstleistung angepasst, um unser VAC Anti-DDoS-System so schnell wie möglich einzurichten und so unseren Rückstand in diesem Bereich aufzuholen.

Wir haben uns damals bewusst dazu entschieden, diese Dienstleistung nicht als kostenpflichtige Option anzubieten. Stattdessen haben wir diesen Dienst standardmäßig in allen Angeboten integriert, um die Kosten auf alle Kunden gleichermaßen zu verteilen und dabei den bestmöglichen Schutz zu bieten.

Octave Klaba erklärte: „Die Frage ist nicht, ob Sie einen DDoS-Schutz benötigen, sondern wann Sie zum ersten Mal das Opfer eines DDoS-Angriffs werden. OVH garantiert Ihnen 24 Stunden am Tag und an 7 Tagen die Woche Schutz vor DDoS-Angriffen, unabhängig von deren Dauer und Umfang.“

Ohne entsprechende Schutzmaßnahmen kommt es während eines DDoS-Angriffs immer zu Kollateralschäden. Wird der Angriff nicht abgeschwächt, sind − abhängig von der Intensität der Attacke − auch alle „Nachbarn“ im angegriffenen Server-Rack betroffen und deren Dienste vorübergehend nicht verfügbar. Uns schien es daher am sinnvollsten, allen Kunden diesen Schutz zu bieten.

DDoS-Angriffe erfolgen häufig aus kriminellen Absichten, sie können allerdings auch ein Mittel zur Zensur sein, wie dies vom amerikanischen Sicherheitsexperten Brian Krebs gezeigt wurde. Der Schutz vor DDoS-Angriffen trägt somit nicht nur zur Qualität des Netzwerks bei, sondern schützt auch die Meinungsfreiheit.

Die neue Generation des DDoS-Schutzes und deren internationales Deployment

Seit der Einführung des VAC-Systems ab 2013 profitieren OVH Kunden von den besten DDoS-Schutzmaßen. Ein Schutz, der auch heute noch zukunftsweisend ist. Dies zeigte sich im September 2016, als OVH eine Rekord-Attacke von 1 Tbit/s erfolgreich abwehrte.

Das VAC-System funktioniert reibungslos und arbeitet im Hintergrund, um OVH Kunden zu schützen. Die meisten bemerken erst, dass sie das Ziel eines Angriffs waren, wenn wir sie per E-Mail darüber informieren.

OVH hat seither einen ambitionierten internationalen Entwicklungsplan gestartet und in Europa, Asien-Pazifik und Nordamerika neue Rechenzentren errichtet. Das Ziel ist, überall dort präsent zu sein, wo unsere Kunden ihre Märkte ausbauen wollen.

Wir haben daher überlegt, wie wir diese VAC-Technologie am besten skalieren können, da sie anfänglich auf drei Modulen in Roubaix, Straßburg und Montreal basierte, bevor im Jahr 2016 ein viertes VAC in Gravelines hinzukam.

Uns war bewusst, dass die 2013 von uns eingesetzte, proprietäre Technologie kurzfristig ihre Kapazitäts- und Skalierbarkeitsgrenzen erreichen würde und haben daher in den vergangenen zwei Jahren eine eigene Anti-DDoS-Lösung entwickelt. Diese basiert auf verschiedenen Technologie-Schichten: FPGA-Filterung (neuprogrammierbare Computerchips mit einer höheren Rechenleistung als CPUs), kombiniert mit x86-Servern mit 6WIND-Softwarebeschleunigung und DPDK Open-Source-Bibliothek sowie der neuesten Generation von 100GbE-Netzwerkkarten aus dem Hause Mellanox. Heute laufen mehr als 100 000 Codezeilen auf dieser neuen VAC-Generation „made in OVH“, und unsere Abwehrstrategien werden ständig weiterentwickelt.

Um unseren DDoS-Schutz zu skalieren, haben wir zunächst die ersten vier VAC mit 40G durch eine neue Generation von VAC mit 100G ersetzt, die jeweils über eine Kapazität von 600 Gbit/s verfügen. Danach haben wir begonnen, diese Technologie auch in den Rechenzentren der neuen geografischen Gebiete einzurichten.

Das Ziel ist, alle Angriffe so nahe wie möglich an deren Ursprung abzufangen, anstatt sie über den Backbone zu “transportieren” und damit unnötige Bandbreite zu verbrauchen (was wiederum bestimmte Verbindungen überlasten könnte).

Das Deployment der neuen VAC-Generation geschieht somit parallel zur Inbetriebnahme neuer Rechenzentren. OVH hat 2017 weitere 5 VAC in Betrieb genommen: in Singapur, Sydney, Warschau, Limburg (bei Frankfurt) und London. Damit erhöht sich die Anzahl insgesamt auf 9, was einer Gesamtkapazität von mehr als 4 Tbit/s entspricht. Weitere Deployments sind für die Ostküste der Vereinigten Staaten (Anfang Oktober im zukünftigen Rechenzentrum von Vint Hill) sowie in Spanien und Italien geplant.

Ständige Forschung und Entwicklung

Parallel zum internationalen Rollout der neuen Generation unseres DDoS-Schutzes setzen wir Forschung und Entwicklung jeden Tag weiter fort. Denn auch die Intensität der Angriffe wird mit der zunehmenden Größe und den steigenden Kapazitäten im Internet weiter anwachsen. Und die Komplexität der Angriffe wird ebenfalls weiter steigen. Auf der einen Seite analysieren wir die Funktionsweise der Attacken, um unsere Abwehrstrategien kontinuierlich zu verbessern. Auf der anderen Seite ist uns bewusst, dass die Angreifer ebenfalls versuchen, unsere Schutzmaßnahmen zu verstehen, um diese besser zu umgehen. Deshalb ist es unerlässlich, immer einen Schritt voraus zu bleiben.

Unsere Statistiken für September 2017 geben einen Überblick über die Typologie der DDoS-Attacken, die OVH abgefangen hat:

  1. UDP Flood (40 %)
  2. SYN Flood (30 %)
  3. TCP Flood (other than SYN flood) (25 %)
  4. GRE (Generic Routing Encapsulation) (3 %)
  5. Andere (2 %)

UDP-Attacken sind technisch sehr einfach durchzuführen und werden
daher am häufigsten eingesetzt. Dennoch beobachten wir für jede
Angriffsart und insbesondere bei denjenigen, die das TCP-Protokoll
verwenden, eine zunehmende Komplexität der verwendeten Mechanismen. Und
wir beobachten immer wieder die Entstehung neuer Methoden, vor allem
solcher, die auf GRE basieren.

Darüber hinaus zeigen uns unsere Indikatoren, dass allein im September
2017 etwa hundert neue Botnets entstanden sind, die kompromittierte
Gegenstände mit Internetanschluss ausnutzen. Die aktivsten dieser
Botnets führten innerhalb eines Monats zusammen mehr als 3000 Angriffe
auf verschiedene Hosting-Anbieter aus. Ein weiterer Beweis dafür, dass
die Bedrohung immer noch stark ist, auch wenn sie nicht für
internationale Schlagzeilen sorgt.

 

Unsere Nutzer wollen selbst, dass wir den DDoS-Schutz weiter optimieren. Das VAC-System schützt standardmäßig alle OVH Kunden, doch es wird nur aktiv, wenn ein Angriff erkannt wurde. Es filtert dann den unrechtmäßigen Traffic heraus, um die Verfügbarkeit des angegriffenen Servers zu erhalten. Einige Kunden, zum Beispiel im Finanzsektor, nutzen eine Option, die eine dauerhafte Aktivierung des VAC ermöglicht. Für sie ist schon die durchschnittliche Verzögerung von 3 Sekunden, die zur Erkennung des Angriffs benötigt wird, nicht akzeptabel.

Diese Reaktionsfähigkeit wird in Zukunft für eine wachsende Zahl von Anwendern zum Standard gehören. So sollte zum Beispiel im Bereich des Internets der Dinge (IoT) die Erkennung eines Angriffs eine sofortige Reaktion auslösen. Und das IoT wird bald eine weitere Herausforderung darstellen: Nämlich bei der richtigen Unterscheidung zwischen einem DDoS-Angriff und einem rechtmäßigen, massiven Zustrom von Daten aus angeschlossenen Sensoren, deren Menge vor allem in der Industrie exponentiell ansteigt.

Unser VAC ist so konzipiert, dass es unsere Kunden vor externen Attacken schützt, die von außerhalb unseres Netzwerks stammen. Angriffe, die innerhalb des OVH Netzes entstehen, werden von uns erkannt, und direkt an deren Ursprung gestoppt, indem wir die betroffenen Dienste in weniger als 30 Sekunden vom Netz isolieren. Dieses Vorgehen ist zwar effizient, doch wollen wir einen noch höheren Schutz bieten, indem wir einen zusätzlichen DDoS-Schutz so nahe wie möglich an den einzelnen Servern platzieren und so die Reaktionsfähigkeit weiter steigern.

Auf unseren GAME Servern bieten wir das bereits an, deren spezifische Anforderungen an den DDoS-Schutz eine große technische Herausforderung darstellen. Um diesen zusätzlichen Schutz jedem Einzelnen zugänglich zu machen, setzen wir auf unsere vRouter-Technologie (ein virtueller Router, der auf x86-Servern läuft und mit dem wir unsere Rechenzentren schrittweise ausstatten). Auf diese Weise werden diese leistungsstarken Filterfunktionen in all unseren Rechenzentren eingerichtet.

In Roubaix wird derzeit ein Proof of Concept durchgeführt, und die Technologie läuft bereits auf 20 000 Servern. Außerdem arbeiten wir an Techniken, um bestimmte Arten von Angriffen vorauszuahnen. So könnten Schutzmaßnahmen ausgelöst werden, noch bevor die ersten Pakete in unserem Netzwerk eintreffen.

Wir wollen nicht nur einen effizienten DDoS-Schutz bieten, sondern insgesamt den bestmöglichen Schutz. Zum Beispiel denken wir darüber nach, das Risiko eines DDoS-Angriffs in unser Service Level Agreement aufzunehmen. Anders ausgedrückt, möchten wir unseren Kunden vertraglich die Verfügbarkeit Ihrer Dienstleistungen garantieren − selbst im Falle eines DDoS-Angriffs.

Erhöhung der Verbindungskapazität: die versteckten Kosten des DDoS-Schutzes

Die Kosten des Systems, das Angriffe abwehrt (Mitigation) und unrechtmäßigen Traffic herausfiltert, ohne den rechtmäßigen Traffic zu beeinträchtigen, sind dementsprechend hoch. Doch bestehen darüber hinaus zusätzliche, versteckte Kosten für diesen Schutz. Um eine Überlastung der Verbindungen zwischen den DDoS-Quellen und unseren VAC zu vermeiden, müssen wir unsere Verbindungskapazitäten (Peering) mit den verschiedenen Providern weltweit erhöhen. Und diese Peerings sind immer häufiger kostenpflichtig.
OVH benötigt eine große Menge überschüssiger Kapazität, um Peaks größerer Angriffe abzufangen, ohne Teile des Netzwerks zu überlasten. Das Wissen, wie man diese Angriffe abwehrt, reicht alleine nicht aus. Man muss vor allem dazu in der Lage sein, diese auch im eigenen Netzwerk abzufangen. Tatsächlich nutzen wir von den 12 Tbit/s der OVH Netzwerkkapazität durchschnittlich nur 3,5 Tbit/s.

Die notwendigen Investitionen zur Abwehr von DDoS-Angriffen hängen daher weniger  mit dem Wachstum von OVH zusammen. Tatsächlich sind es die immer stärkeren Angriffe, die uns dazu zwingen, die Ausgaben weiter zu erhöhen.

Fazit

Mehr denn je steht die Sicherheit der IT-Infrastruktur im Mittelpunkt der Unternehmensinteressen. Cyber-Bedrohungen, von Ransomware bis hin zu DDoS-Angriffen, haben in den letzten Monaten regelmäßig für Schlagzeilen gesorgt. Einige Arten von Bedrohungen lassen sich nur schwer beseitigen, weshalb Versicherer Cyberangriffe als Markt mit hohem Potenzial ansehen. Das Problem der Denial-of-Service-Attacken ist jedoch mittlerweile gut unter Kontrolle. Vorausgesetzt, Sie setzen auf einen Cloud-Anbieter, der diesem Thema eine hohe Priorität einräumt und dementsprechend investiert. Daher auch die Preisanpassung für OVH Dienstleistungen von 1 bis 10 € vor Steuern/ pro Monat für VPS, Public Cloud und Dedicated Server (ausgenommen GAME Server). Die neuen Preise werden auf der Website angezeigt und gelten ab Ende Oktober für Neubestellungen von Dedicated Servern und VPS sowie ab Anfang Dezember für das Public Cloud Angebot. Bestandskunden, die bereits von der Preisanpassung betroffene Dienste nutzen, wurden persönlich per E-Mail über die Einführung der neuen Tarife zum 01. Dezember benachrichtigt. Wenn sie sich für einen Vertrag mit 3, 6 oder 12 Monaten Laufzeit entschieden haben, gelten die neuen Preise erst bei der nächsten Verlängerung ihres Vertrags.

 

Über OVH
OVH ist ein internationaler Hyperscale Cloud Anbieter und gilt branchenweit als Maßstab in Sachen Usability und Performance. Das Unternehmen wurde 1999 gegründet und betreibt 27 Rechenzentren an 12 Standorten auf 4 Kontinenten sowie ein eigenes Glasfasernetzwerk und umfasst die komplette Produktionskette im Hosting-Bereich. Dank seiner eigenen Infrastrukturen bietet OVH einfache und leistungsstarke Tools und IT-Lösungen und revolutioniert die Arbeit von über einer Million Kunden weltweit. Die Achtung persönlicher Freiheiten und Rechte sowie der chancengleiche Zugang zu neuen Technologien sind von jeher zentraler Bestandteil der Unternehmenswerte. Bei OVH gilt „Innovation is Freedom“.

Kontakt
Marketing/PR
Dr. Jens Zeyer
Marketing Executive
Tel.: +49 (681) 90673216
E-Mail:jens.zeyer@corp.ovh.com

OVH GmbH
Dudweiler Landstraße 5
66123 Saarbrücken