DDoS Schutz ist für verschiedene Anwendungen absolut lebensnotwendig. Deine kritischen (Echtzeit-)Anwendungen brauchen zuverlässigen Schutz bis zum letzten Bit. Ich zeige dir, wie FlowSpec dabei hilft, das Netzwerk für deinen Schutz zu konfigurieren. 

DDoS Schutz im Maincubes

Seit Anfang Q3 2020 werden alle neuen Dienste am Hauptstandort im Maincubes angeboten. Du profitierst nicht nur von eine Kühlung auf dem neuesten Stand der Technik, sondern auch von einer fast extravaganten DDoS Protection vom Marktführer Arbor Networks. Mit der Arbor DDoS Protection werden auch massive Volumen- und trickreiche Layer-7-Angriffe abgewehrt.  

Eine zentrale Komponente jeder DDoS Protection ist die effiziente Verteilung von Filterregeln und Informationen innerhalb der Schutz-Infrastruktur. 

Remote Triggered Black Hole Filtering

Schon vor dem neueren BGP FlowSpec gab es bereits Ansätze, innerhalb eines Netzwerkes Filter in Form von einfachem Blackholing umzusetzen. Das Blackholing soll dabei bereits auf Router und Carrier Ebene stattfinden. Man spricht von Remote Triggered Black Hole Filtering (RTBH) Dabei stehen die beiden Arten Source- und Destination-Based zur Verfügung. Wir droppen also den Traffic von Source oder zu Destination IPs

Blackholing

Wie in der Abbildung zu sehen kommunizieren Analysegeräte im Zielnetzwerk Filterregeln mit Herkunft oder Ziel von Traffic, der geblockt werden soll. So kann bereits früh im Netzwerk schädlicher Traffic aufgehalten werden. Nun ist Remote Triggered Black Hole Filterung aber eingeschränkt: Es findet keine Filterung statt. Den kompletten Traffic fallen zu lassen ist zwar einfach und effektiv, sperrt jedoch auch legitimen Traffic aus. An dieser Stelle ist eine Weiterentwicklung notwendig. 

 

Dissemination of Flow Specification Rules

Um eine feinere und spezifischere Filterung erreichen, als per RTBH allen Traffic zu blocken, wird von führenden Anbietern wie Arbor Networks, Cisco Systems und Juniper Networks in RFC 5575 ein Standard für die Verbreitung von Flow Spezifikations Regeln vorgeschlagen (Dissemination of Flow Specification Rules).

Flowspec geht dabei wesentlich gründlicher vor als RTBH und gibt dem Benutzer die Möglichkeit, IP Pakete über flow specifications zu matchen. Eine flow specification ist dabei ein n-Tupel verschiedener Kriterien, die alle auf ein Paket zutreffen müssen, damit das Paket im Sinne der flow specification erkannt wird.

Flowspec definiert dabei die folgenden Komponenten:

  1. Destination Prefix: Das Ziel des Paketes, definiert als IP Prefix 
  2. Source Prefix: Die Herkunft des Paketes, definiert als IP Prefix
  3. IP Protokoll: Matching des IP Protocol Byte Feldes im IP Paket
  4. Port: Source oder Destination Port
  5. Destination Port
  6. Source Port
  7. ICMP Type: Matching des Type Feldes in einem ICMP Paket
  8. ICMP Code: Matching des Code Feldes in einem ICMP Paket
  9. TCP Flags: Filtern von verschiedenen TCP Flags
  10. Paket Länge: Matching auf die Länge des IP Paketes (Ohne Layer 2, aber mit IP Header)
  11. DSCP: Matching des DSCP Feldes
  12. Fragment: Platzierung des Fragments

Durch diese Spezifikation ist eine sehr viel genauere Analyse und Filterung des Traffics möglich. Statt mit RTBH einfach allen Traffic zu droppen, kann Traffic gefiltert, umgeleitet und analysiert werden. Ein riesiger Schritt nach Vorne.

Im Falle von Klauke Enterprises werden die Flowspec Regeln von dem Analysegerät des Upstream Providers, der Arbor Sightline, bereitgestellt und über das BGP Protokol als NRLI an unterschiedliche Juniper Router des Upstream Providers verteilt.

Fazit

FlowSpec ist also absolut integraler Bestandteil jeder effizienten DDoS Protection. Besonders bei DDoS Dauerschutz braucht es schnelle Reaktionszeiten und wirkungsvolle Maßnahmen, um schädlichen Traffic zu filtern und deine Uptime hoch zu halten, ohne auf ein angemessenes Schutzniveau zu verzichten. Mit Flowspec ist das möglich. Du möchtest mehr über die DDoS Protection erfahren? Dann klicke direkt hier:

Mehr über die DDoS Protection

Kommentieren

Neueste Artikel

Im Profil: DDoS Schutz bei Klauke Enterprises mit Netscout Arbor
Im Profil: DDoS Schutz bei Klauke Enterprises mit Netscout Arbor
6 Juni, 2021

Als Unternehmen bekommt man es mit den verschiedensten Bedrohungen von innen und außen zu tun. Im Zuge der weiter vorans...

Der PUE Wert (Power Usage Effectiveness): Wieso ist er wichtig?
Der PUE Wert (Power Usage Effectiveness): Wieso ist er wichtig?
13 Mai, 2023

Unternehmen investieren zunehmend in Nachhaltigkeit. Strom- und Benzinpreise steigen fast so schnell wie der Bedarf an I...

Hochverfügbarkeit bei der Colocation im Maincubes
Hochverfügbarkeit bei der Colocation im Maincubes
7 Juni, 2021

Hosting Unternehmen geben gerne ihre Verfügbarkeit in Prozent an. Man hört Angaben wie 99% oder 99,9%. Die Erreichbarkei...