Allgemein

CDN – Content Delivery Networks

Zu zwei populären Themen wird regelmäßig eine öffentliche Diskussion geführt ohne den relevanten Bezug zu CDN herzustellen. Die beiden Themen sind Netzneutralität und DoS-Attacken.

Zunächst eine Beschreibung was die Leistung eines CDN darstellt. Ein CDN – auch als Content Distribution Network beschrieben – bietet keine eigene Infrastruktur mit Kabeln und Switches/Routern an. Die Grundlage eines CDN sind verteilte Rechenzentrumsstandorte mit Serversystemen, die als Proxy für Inhalte dienen, und eine Software-Lösung, die für eine durchdachte Nutzung dieser Infrastruktur sorgt. Ausgangspunkt der Lösungen war die Verteilung von Inhalten von einem zentralen Anbieter aus zu verschiedenen Auslieferungspunkten. Die Verbesserung für Nutzer wird dadurch erreicht, dass der Content nur einmalig von der zentralen Bereitstellung zu dem Proxy am Auslieferungspunkt übermittelt wird. Bei den folgenden Auslieferungen bedient der Proxy den Nutzer. Damit werden mehrere Vorteile realisiert: der Proxy befindet sich näher beim Nutzer so dass der Inhalte über eine kürzere Strecke schneller ankommt. Zudem erfolgt die Auslieferung über die vielen, verteilten Proxy an die Nutzer parallel. Das erhöht ebenfalls die Geschwindigkeit der Zustellung für den Nutzer.

Diese Leistung der Provider für CDN nutzen unzählige Firmen um die Auslieferung ihres Content zu verbessern. Sie bezahlen den Anbieter dafür, dass ihre Nutzer die Vorteile erhalten. Die Neutralität der Netze wird damit auf einem höheren Layer aufgehoben. Der Datenverkehr, der damit ausgeliefert wird, ist signifikant. Der größte Anbieter Akamai stellt selbst dar, dass sie zwischen 15 und 30 % des weltweiten Internet Traffic ausliefern1. Die Summe aller weiteren bekannten und unbekannteren Anbieter wie Level(3), Limelight, amazon, ChinaCache usw. ist damit auf sicher 50 % oder mehr des Traffic zu schätzen.

Diese Basisleistungen wurden später durch weitere Funktionen erweitert, die mit der vorhandenen Infrastruktur und zusätzlichen Services in der Software erreicht werden können. Damit können vor allem Sicherheits- und Schutzfunktionen realisiert werden.

Wird der Content über ein CDN ausgeliefert, greift der Nutzer nicht mehr direkt auf die Quelle des Inhalts zu sondern auf die Auslieferungspunkte des CDN-Provider. Das schafft die Voraussetzung für die Abwehr von (Distributed) Denial of Service Attacken. Auch die Angreifer, die eine DDoS-Attacke durchführen, erreichen nicht die Quelle sondern den CDN-Anbieter. Das bedeutet es steht sich das Netz der Angreifer-Systeme und das Netz der Auslieferungspunkte des CDN-Provider gegenüber. Bei der Leistungsfähigkeit der großen CDN-Anbieter bedeutet dies, dass der Angreifer abgewehrt werden kann.

Durch zusätzliche Funktionen in der Software können die Sicherheits- und Abwehrfunktionen noch verbessert werden. Auf der Ebene der IP-Adressen, Ports und damit verbundenen Verbindungsdaten sind Aktionen möglich: Blockierung von Adressen und/oder Ports, Verfolgung und Steuerung von Verkehrsverbindungen sowie Screening nach unvollständigen Datenpaketen bzw. bewusst fehlerhaften Anfragen.

Zusammengefasst bedeutet dies: Die Netzneutralität auf der Ebene der Kabelnetze wird durch Eingriffe auf der höheren Layer-Ebene heute schon längst umgangen. Ebenso gilt, dass die Abwehr einer DDoS-Attacke heute nur noch eine finanzielle Frage aber keine technologische Herausforderung ist.

Fußnoten

1 Quelle http://www.akamai.com/html/technology/visualizing_akamai.html; abgerufen am 24.05.2015 um 22:00 Uhr

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.