DDoS Schutz ist für verschiedene Anwendungen absolut lebensnotwendig. Deine kritischen (Echtzeit-)Anwendungen brauchen zuverlässigen Schutz bis zum letzten Bit. Ich zeige dir, wie FlowSpec dabei hilft, das Netzwerk für deinen Schutz zu konfigurieren.
DDoS Schutz im Maincubes
Seit Anfang Q3 2020 werden alle neuen Dienste am Hauptstandort im Maincubes angeboten. Du profitierst nicht nur von eine Kühlung auf dem neuesten Stand der Technik, sondern auch von einer fast extravaganten DDoS Protection vom Marktführer Arbor Networks. Mit der Arbor DDoS Protection werden auch massive Volumen- und trickreiche Layer-7-Angriffe abgewehrt.
Eine zentrale Komponente jeder DDoS Protection ist die effiziente Verteilung von Filterregeln und Informationen innerhalb der Schutz-Infrastruktur.
Remote Triggered Black Hole Filtering
Schon vor dem neueren BGP FlowSpec gab es bereits Ansätze, innerhalb eines Netzwerkes Filter in Form von einfachem Blackholing umzusetzen. Das Blackholing soll dabei bereits auf Router und Carrier Ebene stattfinden. Man spricht von Remote Triggered Black Hole Filtering (RTBH) Dabei stehen die beiden Arten Source- und Destination-Based zur Verfügung. Wir droppen also den Traffic von Source oder zu Destination IPs.
Wie in der Abbildung zu sehen kommunizieren Analysegeräte im Zielnetzwerk Filterregeln mit Herkunft oder Ziel von Traffic, der geblockt werden soll. So kann bereits früh im Netzwerk schädlicher Traffic aufgehalten werden. Nun ist Remote Triggered Black Hole Filterung aber eingeschränkt: Es findet keine Filterung statt. Den kompletten Traffic fallen zu lassen ist zwar einfach und effektiv, sperrt jedoch auch legitimen Traffic aus. An dieser Stelle ist eine Weiterentwicklung notwendig.
Dissemination of Flow Specification Rules
Um eine feinere und spezifischere Filterung erreichen, als per RTBH allen Traffic zu blocken, wird von führenden Anbietern wie Arbor Networks, Cisco Systems und Juniper Networks in RFC 5575 ein Standard für die Verbreitung von Flow Spezifikations Regeln vorgeschlagen (Dissemination of Flow Specification Rules).
Flowspec geht dabei wesentlich gründlicher vor als RTBH und gibt dem Benutzer die Möglichkeit, IP Pakete über flow specifications zu matchen. Eine flow specification ist dabei ein n-Tupel verschiedener Kriterien, die alle auf ein Paket zutreffen müssen, damit das Paket im Sinne der flow specification erkannt wird.
Flowspec definiert dabei die folgenden Komponenten:
- Destination Prefix: Das Ziel des Paketes, definiert als IP Prefix
- Source Prefix: Die Herkunft des Paketes, definiert als IP Prefix
- IP Protokoll: Matching des IP Protocol Byte Feldes im IP Paket
- Port: Source oder Destination Port
- Destination Port
- Source Port
- ICMP Type: Matching des Type Feldes in einem ICMP Paket
- ICMP Code: Matching des Code Feldes in einem ICMP Paket
- TCP Flags: Filtern von verschiedenen TCP Flags
- Paket Länge: Matching auf die Länge des IP Paketes (Ohne Layer 2, aber mit IP Header)
- DSCP: Matching des DSCP Feldes
- Fragment: Platzierung des Fragments
Durch diese Spezifikation ist eine sehr viel genauere Analyse und Filterung des Traffics möglich. Statt mit RTBH einfach allen Traffic zu droppen, kann Traffic gefiltert, umgeleitet und analysiert werden. Ein riesiger Schritt nach Vorne.
Im Falle von Klauke Enterprises werden die Flowspec Regeln von dem Analysegerät des Upstream Providers, der Arbor Sightline, bereitgestellt und über das BGP Protokol als NRLI an unterschiedliche Juniper Router des Upstream Providers verteilt.
Fazit
FlowSpec ist also absolut integraler Bestandteil jeder effizienten DDoS Protection. Besonders bei DDoS Dauerschutz braucht es schnelle Reaktionszeiten und wirkungsvolle Maßnahmen, um schädlichen Traffic zu filtern und deine Uptime hoch zu halten, ohne auf ein angemessenes Schutzniveau zu verzichten. Mit Flowspec ist das möglich. Du möchtest mehr über die DDoS Protection erfahren? Dann klicke direkt hier:
Kommentieren