Unsere DDoS-Protection schützt vor DDoS-Attacken aus dem Internet. Mit unserer DDoS-Protection sind Ihre Server imun gegen Attacken auf Netzwerk- und Anwendungsebene. Wir verlassen uns nicht auf Drittanbieter und betreiben eine eigenentwickelte DDoS-Protection.
Unsere DDoS-Protection überwacht permanent den eingehenden Netzwerkverkehr mittels sflow. Unsere Router senden hierzu in kurzen Abständen einen Teilauszug des eingehenden Datenverkehr an zentrale DDoS-Analyse-Systeme. Diese kumulieren die empfangenen Informationen und aktivieren im Bedarfsfall unsere DDoS-Filter mittels BGP Routing. Sämtlicher eingehender Datenverkehr wird nun vor Ihrem Server über die Schutzinfrastruktur geleitet. Die Schutzinfrastruktur überprüft jedes IP Paket auf dessen Parameter wie beispielsweise TCP Flags oder Paketgröße und Inhalt. Schädliche IP-Pakete werden statisch und dynamisch gefiltert, valide IP-Pakete wie sie nur ein regulärer Client senden kann, werden akzeptiert und an Ihren Server weitergeleitet.
Unter DDoS-Attacken auf Netzwerkebene verstehen wir Floods auf OSI Layer 3 und Layer 4. Dazu zählen UDP Reflection, TCP, ICMP und UDP Floods. Ebenfalls gehören dazu auch Attacken über andere IP-Protokolle wie GRE oder IPSec. Um Attacken auf Netzwerkebene möglichst vor unserem Netzwerk auszufiltern, setzen wir BGP Flowspec und statische ACL Filter auf Seiten der Router unserer Upstream Partner ein. So können wir beispielsweise eine groß angelegte DDoS-Attacke mittels UDP Reflection auf wenige Mbit limitieren, bevor diese überhaupt unser Netzwerk erreicht. Attacken welche wir nicht vor unserem Netzwerk ausfiltern können, werden durch unsere DDoS-Filter (flowShield) ausgefiltert.
flowShield ist unser eigenentwickelter DDoS-Filter, welcher sowohl auf dem Netmap Framework als auch unserem eigenen Programmcode basiert. flowShield ist in C programmiert und kann mit Hilfe von Netmap DDoS-Attacken auf 10Gbit Line-Rate je CPU-Kern ausfiltern. Die ankommenden IP-Pakete durchlaufen dabei nach Protokoll (TCP/UDP/ICMP) eine Vielzahl von statischen und dynamischen Filterregeln. In Verbindung mit Hashtables und Challenge Response Authentication können wir auch sehr komplexe Attacken sehr granular blockieren, ohne den sauberen Traffic wesentlich zu beeinflussen.
Neben flowShield setzen wir BGP Flowspec ein, um große Attacken bereits vor unserem Netzwerk zu limitieren oder auszufiltern. BGP Flowspec verwendet das BGP Protokoll, um dynamisch Filterregeln auf der Netzwerkinfrastruktur unserer IP-Transit Carrier zu aktivieren. Flowspec Regeln werden für jede Attacke individuell erzeugt.
DDoS-Attacken auf Anwendungen (Layer 7 Attacken) wie Webserver sind keine Seltenheit. Um Attacken auf Basis des HTTP Protokoll sinnvoll auszufiltern, betreiben wir gesonderte DDoS-Filter welche sich dediziert um die Verarbeitung von HTTP Requests kümmern. Unsere Layer 7 DDoS-Filter agieren bei Aktivierung als transparenter Reverse Proxy, welcher ohne Ihr zutun zwischen Client und Server jede Anfrage validiert. Um Webpräsenzen mit SSL Verschlüsselung zu schützen, ist es erforderlich die SSL Zertifikate vorab auf unsere Schutzinfrastruktur zu hinterlegen.
