Nach umfangreicher Prüfung marktreifer Systeme zur Abwehr von DDoS-Angriffen wurde ein System, das hauptsächlich aus Hardware besteht, implementiert. Dieses besteht im wesentlichen aus drei Ebenen, über welche wir in der Lage sind, angreifenden von validem Traffic zu trennen.
– Automatische Erkennung von Angriffsmustern
– Filtern des Traffics nach bekannten Angriffsmustern
– CRA und dynamische Trafficfilterung
Automatische Erkennung von Angriffsmustern
Neben einer Erkennung basierend auf der Trafficmenge und Paketmenge sind wir in der Lage, den eigentlichen Angriff einzugrenzen und dadurch auf den verwendeten Angriffstyp einzugehen. Ein UDP-Flood mit 200.000 Paketen pro Sekunde ist für Server unbedenklich. 200.000 SYN Pakete können ein Problem darstellen. Genau diese Unterscheidung ist nun möglich.
Filtern des Traffics nach bekannten Angriffsmustern
Es werden die häufig verwendeten Angriffe sehr effizient gefiltert, indem sie bereits im Filternetzwerk verworfen werden. Dies betrifft vor allem Angriffe wie DNS-Reflection, NTP-Reflection oder UDP Floods auf Port 80 und Port 443
ChallengeResponse-Authentifizierung und dynamische Trafficfilterung
An dieser Stelle werden Angriffe wie SYN-Floods, DNS-Floods und Invalid Packets gefiltert. Auch können wir auf einzelne Angriffe reagieren und diese zuverlässig mitigieren.
Die verwendete Technologie erlaubt ein Maß an Automatisierung, welche weiter optimiert wird. Dies geschieht dadurch, dass alle Angriffe überprüft und unsere Filter und Responses ständig angepasst werden.
Der DDoS-Schutz verursacht keine zusätzlichen Kosten und ist für alle Kunden verfügbar.