DDOS

Was sind DDoS-Attacken?

DDoS-Attacken verfolgen das Ziel die attackierte Ressource unerreichbar zu machen. Der Angreifer sendet hierzu massenhaft Traffic an das Zielsystem, wodurch sämtliche Bandbreiten- bzw. Rechenkapazitäten vollständig überbelastet bzw. ausgeschöpft werden. Sofern der Serveranbieter bei eingehenden Attacken die Ziel-IP-Adresse sperrt (Blackholing / Nullrouting), ist der Schaden meist noch wesentlich größer: Die gut besuchte Ecommerce-Plattform, das Webhostingsystem mit vielen anderen Kunden oder die eigene Firmenpräsenz ist Stunden- oder Tagelang unerreichbar. Da die meisten Hostinganbieter über niedrig dimensionierte Außenanbindungen verfügen, werden unter Umständen auch andere Kunden beeinflusst.
Generell ist die Ausübung von DDoS-Attacken strafbar, die eigentlichen Akteure lassen sich in der Regel aufgrund von Verschleierungsmaßnahmen nicht ausfindig machen.

Wie funktioniert der combahton DDoS-Schutz?

Unsere DDoS-Protection überwacht permanent den eingehenden Netzwerkverkehr mittels sflow. Unsere Router senden hierzu in kurzen Abständen einen Teilauszug des eingehenden Datenverkehr an zentrale DDoS-Analyse-Systeme. Diese kumulieren die empfangenen Informationen und aktivieren im Bedarfsfall unsere DDoS-Filter mittels BGP Routing. Sämtlicher eingehender Datenverkehr wird nun vor Ihrem Server über die Schutzinfrastruktur geleitet. Die Schutzinfrastruktur überprüft jedes IP Paket auf dessen Parameter wie beispielsweise TCP Flags oder Paketgröße und Inhalt. Schädliche IP-Pakete werden statisch und dynamisch gefiltert, valide IP-Pakete wie sie nur ein regulärer Client senden kann, werden akzeptiert und an Ihren Server weitergeleitet.


Schutz vor Attacken auf Netzwerkebene

Unter DDoS-Attacken auf Netzwerkebene verstehen wir Floods auf OSI Layer 3 und Layer 4. Dazu zählen UDP Reflection, TCP, ICMP und UDP Floods. Ebenfalls gehören dazu auch Attacken über andere IP-Protokolle wie GRE oder IPSec. Um Attacken auf Netzwerkebene möglichst vor unserem Netzwerk auszufiltern, setzen wir BGP Flowspec und statische ACL Filter auf Seiten der Router unserer Upstream Partner ein. So können wir beispielsweise eine groß angelegte DDoS-Attacke mittels UDP Reflection auf wenige Mbit limitieren, bevor diese überhaupt unser Netzwerk erreicht. Attacken welche wir nicht vor unserem Netzwerk ausfiltern können, werden durch unsere DDoS-Filter (flowShield) ausgefiltert.

flowShield ist unser eigenentwickelter DDoS-Filter, welcher sowohl auf dem Netmap Framework als auch unserem eigenen Programmcode basiert. flowShield ist in C programmiert und kann mit Hilfe von Netmap DDoS-Attacken auf 10Gbit Line-Rate je CPU-Kern ausfiltern. Die ankommenden IP-Pakete durchlaufen dabei nach Protokoll (TCP/UDP/ICMP) eine Vielzahl von statischen und dynamischen Filterregeln. In Verbindung mit Hashtables und Challenge Response Authentication können wir auch sehr komplexe Attacken sehr granular blockieren, ohne den sauberen Traffic wesentlich zu beeinflussen.

Neben flowShield setzen wir BGP Flowspec ein, um große Attacken bereits vor unserem Netzwerk zu limitieren oder auszufiltern. BGP Flowspec verwendet das BGP Protokoll, um dynamisch Filterregeln auf der Netzwerkinfrastruktur unserer IP-Transit Carrier zu aktivieren. Flowspec Regeln werden für jede Attacke individuell erzeugt.


Schutz vor Attacken auf Anwendungsebene

DDoS-Attacken auf Anwendungen (Layer 7 Attacken) wie Webserver sind keine Seltenheit. Um Attacken auf Basis des HTTP Protokoll sinnvoll auszufiltern, betreiben wir gesonderte DDoS-Filter welche sich dediziert um die Verarbeitung von HTTP Requests kümmern. Unsere Layer 7 DDoS-Filter agieren bei Aktivierung als transparenter Reverse Proxy, welcher ohne Ihr zutun zwischen Client und Server jede Anfrage validiert. Um Webpräsenzen mit SSL Verschlüsselung zu schützen, ist es erforderlich die SSL Zertifikate vorab auf unsere Schutzinfrastruktur zu hinterlegen.

Wir bieten DDoS-Schutz für Webpräsenzen, Ihre bestehende Serverinfrastruktur wie auch eine full-managed Inhouse Appliance welche Sie innerhalb Ihres Netzwerks betreiben können. Auch individuelle Lösungen und Anpassungen der DDoS-Schutzinfrastruktur sind nach Ihren Anforderungen möglich.


Quelle: combahton.net

Powered by WHMCompleteSolution