DDOS Protection Informationen

Wir schützen unser Netzwerk sehr effektiv gegen DDOS Angriffe, durch den Einsatz von Erkennungssoftware und Vorfilter. Die Protection erkennt und filtert automatisch den "Bad Traffic" und schützt IP-Adressen gegen DDOS Angriffe (bis zu 3200Gbps).

Wenn Sie eine Webseite (HTTP oder HTTPS) vor DDOS Angriffen schützen wollen, empfehlen wir zusätzlich für eine höhere Effizienz den Einsatz der Layer 7 Protection. Ein DDOS Angriff kann mittels der Layer 7 Protection deutlich schneller erkannt und gefiltert werden. Sinnvoll ist es bei der Verwendung von SSL das Zertifikat in der Firewall Software zu hinterlegen.

Während eines Angriffes bleibt der Server weiter erreichbar und Sie können die Dienste normal nutzen. Nicht relevante Ports werden solange der Angriff andauert geblockt, zum Beispiel icmp für Ping abfragen.

Informationen zur Layer 7 DDoS Protection

Es gibt verschiedene Arten von DDoS (Distributed Denial of Service) Angriffen. Grundsätzlich ist unter einem DDoS eine „Verweigerung des Dienstes“ zu verstehen, welche absichtlich durch eine Vielanzahl an Anfragen zustande kommt und so zu einer Überlastung des Datennetzes bzw. des Servers führt.

DDoS Angriffe können hierbei auf verschiedene Schichten zielen (siehe ISO/OSI-Schichtenmodell). Im Vergleich zu früher zielen aktuelle DDoS-Angriffe dabei häufig auf die oberste Schicht (Layer 7). Layer 7 ist die Anwendungsschicht und dient zur Bereitstellung von Funktionen für die Anwendungen und ist für die Dateneingabe und –ausgabe zuständig.

Die Layer-7-Attacken zielen speziell auf die zu Layer 7 gehörigen Protokolle wie Telnet, FTP, NNTP, HTTP oder SMTP. Im Vergleich zu anderen DDoS-Attacken erfordern Layer-7-Angriffe weit weniger Bandbreite und Pakete, um zu einer Störung der Dienste zu führen. Ein Low-Level Protokoll-Angriff wie beispielsweise SYN-Flood erfordert eine riesige Anzahl von Paketen, um einen effektiven DDoS-Angriff durchzuführen, während es bei einer Layer-7-Attacke nur eine begrenzte Anzahl von Paketen braucht, um einen großen DDoS-Angriff umzusetzen.

Am meist verbreitesten unter den Layer-7-Attacken ist das HTTP Flooding. Hierbei wird eine HTTP-Anforderung an den betroffenen Server gesendet und nutzt dabei erhebliche Ressourcen und obwohl die Anzahl der Pakete hierbei begrenzt ist, nutzen diese alle Serverressourcen voll aus und führen zu einer Verweigerung der Dienste.

Die Layer 7 Protection wird auf Ihren Wunsch von uns aktiviert, auch die Hinterlegung des Zertifikats in der Firewall Software erfolgt durch uns.

Was passiert bei einem Angriff

•   ICMP / IGMP (u.a. PING) wird verworfen
•   UDP Source-Port 19, 69, 111, 123, 137, 161, 389, 520, 1434, 1900, 9987, 11211 werden limitiert (10Mbit)
•   TCP / UDP Fragemente (Pakete größer als 1500 byte) werden verworfen
•   UDP Destination Port 9000 bis 9999 wird strikt gegen Teamspeak3 Pakete gefiltert
•   UDP Destination Port 27000 bis 29000 wird strikt gegen Source Engine Pakete gefiltert
•   UDP Destination Port 53 wird strikt gegen DNS Pakete gefiltert und erzwingt TCP Truncation
•   Bei aktiver HTTP Layer7 Mitigation wird sämtlicher TCP Traffic auf Port 80 und 443 durch einen Reverse Proxy geroutet
•   Bei aktiver HTTP Layer7 Mitigation muss Cloudflare deaktiviert werden, da sonst eine Schleife der DNS Auflösung entsteht
•   Jeglicher Traffic (außer TCP / UDP) und wird blockiert

Aller weiterer Traffic (TCP / UDP) wird strikt validiert:

•   TCP Verbindungen sind nur möglich, sofern zuvor ein TCP SYN oder SYN-ACK Paket gesendet und akzeptiert wurde, die Filter verhalten sich hierbei wie eine Art asynchrone Stateful Firewall für Serveranwendungen. Der Aufbau einer ersten Verbindung (SYN bzw. SYN-ACK) dauert womöglich deutlich länger oder wird erstmalig unterbrochen, Webpräsenzen laden ggf. etwas langsamer
•   UDP Verbindungen sind nur möglich, sofern diese von einem „validen Client“ durchgeführt werden, Spoofing wird durch einen intelligenten Abgleich aller Verbindungsparameter unterbunden

Für unsere Kunden mit IP-Netz

Für Kunden mit IP-Netzen können wir eine API freischalten, worüber Sie die Grundfunktionen der DDOS Protection steuern können. Mit der API haben Sie natürlich somit auch die Möglichkeit Ihren Kunden Zugriff über Ihr eigenes Interface geben zu können.