Technische und operative Maßnahmen, um verteilte Denial-of-Service-Angriffe zu absorbieren, abzulenken oder zu überstehen. Ein DDoS flutet deine Infrastruktur von vielen Quellen gleichzeitig mit Datenverkehr und zielt darauf ab, sie offline zu nehmen. Die Mitigation geschieht auf mehreren Ebenen: DNS-Level-Filterung (bösartige Anfragen in ein Sinkhole leiten), IP-Level-Filterung (BGP-Ankündigungen, Reverse Proxies) und Rate Limiting auf Applikationsebene. Dienste wie Cloudflare, Akamai und spezialisierte kleinere Anbieter betreiben Scrubbing-Center, die Angriffsverkehr absorbieren, bevor er deinen Origin erreicht. Für Domain-Registrare und DNS-Betreiber ist DDoS-Mitigation existenziell – Angriffe auf Nameserver können ganze Domains lahmlegen. Die Anycast-DNS-Architektur selbst bietet etwas Resilienz durch Verteilung der Anfragen auf geografisch verteilte Server. Bulletproof-Hosting-Provider bieten DDoS-Mitigation oft standardmäßig an, ihre rechtliche Grundlage ist aber jurisdiktionsabhängig. Kritisch für hochwertige Ziele (Exchanges, Journalismus-Plattformen, Aktivisten-Infrastruktur). Wichtig: DDoS-Mitigation verhindert Angriffe nicht, sondern reduziert nur ihren Schaden. Die Kosten skalieren mit der Angriffsgröße; massive Flutwellen erfordern entweder, riesige Bandbreite zu absorbieren oder offline zu gehen.
security
DDoS-Mitigation
Defensive Maßnahmen, um verteilte Denial-of-Service-Verkehrsfluten zu überstehen oder zu absorbieren.