Cloudflare: Websites beschleunigen und vor bösartigen Cyberangriffen schützen - was hinter dem Content Delivery Network steckt

DDoS-Schutz

Cloudflare bietet einen eigenen DDoS-Schutz, mit dem sich Websites gegen Denial-of-Service (DoS) - sowie DRDoS - Attacken schützen lassen. Angriffe können dabei durchaus mehrere Hundert Gbps betragen.

Der Verkehr einer Website wird mit dem Angriffsverkehr dabei so überschwemmt, das die eigenen Ressourcen (z. B. Switch-Kapazität, Netzwerkkarte oder die CPU-Fähigkeit des Servers) überfordert sind und die Internetseite ausfällt oder in den Funktionen nur eingeschränkt weiterarbeiten kann.

Da bei derartigen Angriffen mehr Verkehr gesendet wird als eine Netzwerkverbindung verarbeiten kann, nützt es auch nichts, die Hardware oder die Software bei derartigen Flutwellen-Attacken aufzurüsten.

Die Attacke kann von einer Personengruppe kommen, von Botnets auf infizierten PCs oder Servern, falsch konfigurierten DNS-Resolvern oder gar von privaten Internet-Routern initiiert werden, die zuvor geknackt worden sind.

Dabei wird auch die Quell-IP-Adresse gefälscht, sodass es von außen betrachtet so aussieht, dass die Web-Anfragen von einer unbegrenzten Anzahl von Quellen kommen.

Der DDoS-Schutz von Cloudflare setzt am Network Edge an und leitet den unnatürlichen Traffic nicht zum Server oder dem Server-Cluster der Website, sondern automatisch an das eigene Anycast-Netzwerk. Dieses absorbiert sodann über Kapazität und Servermenge den Verkehr.

Der Traffic kann dann nicht mehr an nur einen Standort gesendet werden, da jedes Rechenzentrum von Cloudflare die gleiche IP-Adresse für jeden Kunden bereit hält, sodass der Angriff verteilt wird und quasi durch Lastenteilung verpufft.

So lassen sich DDoS-Angriffe verschiedener Formen und Größen verhindern. Hierzu zählen auch Angriffe, die auf UDP und ICMP-Protokolle gerichtet sind (Layer 3 und 4), sowie SYN/ACK, DNS-Amplifikations - (eine Form von DRDoS Angriffen) und Layer-7-Attacken (7. Schicht des OSI-Schichtenmodells).

Der Schutz funktioniert, da die Cloudflare Gesamtkapazität deutlich größer als die eines typischen DDoS-Angriffes ist. Unbegrenzter DDoS-Schutz für Unternehmen wird zu einem monatlichen Fix-Preis offeriert.

Für besonders bösartige Angriffe bietet Cloudflare darüber hinaus den Sicherheitsmodus “I’m Under Attack” (IUAM) an, der im Falle von massiven Attacken eine zusätzliche Schutzschicht einfügt, um den Webserver zu schützen.

Sicherheit

Die Web Application Firewall (WAF) von Cloudflare basiert ebenso auf dem Anycast-Netzwerk und schützt Internetseiten vor Angriffen aus dem Netz, darunter Anfragebetrug, Cross-Site Scripting (XSS) und SQL-Injections.

Die WAF umfasst auch eine IP-Firewall, die den Verkehr auf Basis der IP-Adresse, der IP-Bereiche, der AS-Nummer und des Landes (einschließlich Tor) zulässt oder auch blockiert.

Im Vergleich zu On-Premise-Firewalls wird die Cloud-basierte Firewall von Cloudflare automatisch zentral aktualisiert, sodass lokale Regeländerungen oder Updates entfallen.

Cloudflare unterstützt anwendungsspezifischen Regelsätze unter anderem bei Atlassian, Drupal, Flash, Joomla, Magento, PHP, Phone, WHMCS und WordPress.

DNS   

Cloudflare betreibt ein eigenes DNS-Netzwerk, das auf dem Anycast-Netzwerk basiert. Dabei werden DNS-Anfragen an das nächste verfügbare Datencenter gesendet, um die Antwortzeit zu minimieren.

Zu den Schutzmaßnahmen gegen Angriffe zählen Blockierung, Filterung und HTTP Rate Limiting. Zudem bietet Cloudflare die 2-Faktor-Authentifizierung beim Anmelden zur Bearbeitung der DNS-Einstellungen.

Die DNS kann dabei sowohl direkt vom zentralen Management-Dashboard oder von einer API von Cloudflare angesteuert werden.

Alternative Anbieter

Das wohl bekannteste Internet-Accelerator-Unternehmen ist die US-amerikanische Akamai Technologies Inc., die bereits seit 1999 Content Delivery Network - Dienste bereitstellt.

Daneben existiert eine Vielzahl von Technologiekonzernen, die ebenfalls CDN-Services Dritten anbieten, darunter viele Cloud-Anbieter. Einige Großunternehmen setzen aber auch auf eigene CDN-Lösungen.