DDoS Schutz

Sicherer Schutz über Combahton

1. Unser DDoS-Schutz

Unsere DDoS-Schutzdienste werden von Combahton IT Services bereitgestellt, einem Spezialisten für hochwertige, fortschrittliche DDoS-Schutzdienste. Die aktuelle Filterkapazität beträgt 800 Gbit und wird durch mehrere Filterlösungen erreicht. Combahton verwendet die Vorfilterung von Netzbetreibern sowie deren kundenspezifische DDoS-Filter, die einer ständigen Optimierung und Weiterentwicklung unterliegen. Ein großer DDoS-Angriff zum Beispiel ist bereits an den Eintrittspunkten ihrer Träger begrenzt und erreicht ihre Uplinks nur mit wenigen Mbit. In der Vergangenheit konnte Combahton mit seinem strategischen Setup mehrere großvolumige Angriffe problemlos herausfiltern. Einer davon war ein DNS-Reflection-Angriff, der einen Server über 16 Stunden mit etwa 40 Gbit/s sowie einige extrem umfangreiche TCP- und UDP-Floods anvisierte, die Spitzenwerte von etwa 20 Mpps erreichten.

2. Funktionalität

So funktioniert der DDoS-Schutz der Reihe nach. Messung und Aufzeichnung des Netzwerkverkehrs über Sample Flow Erkennung eines Angriffs anhand bestimmter Muster/Schwellenwerte Aktivierung von DDoS-Filtern per BGP-Ankündigung innerhalb von 2-3 Sekunden NOC überwacht permanent die Schutzinfrastruktur mit Alarmierung der Bereitschaft im Falle einer Filterumgehung basierend auf Schwellenwerten und Anomalien Filtermechanismen Vorfilterung durch Upstreams Vorfilterung durch den Edge-Router von Combahton Granulare Filterung durch DDoS-Filter basierend auf flowShield Benutzervalidierungsfilter für HTTP-Layer-7-Angriffe über einen redundanten Reverse-Proxy-Cluster Protokollspezifische Filterung Derzeit sind die folgenden Protokolle basierend auf einer Benutzer-/Bot-Verhaltensmusteranalyse vor Layer7-Angriffen geschützt: SAMP server Teamspeak3 Server Source engine server Various other game servers HTTP layer 7 mitigation HTTP Layer 7 Filtering Die ausgeklügelten Layer-7-Filter von Combahton unterstützen bis zu 2 Millionen HTTP(S)-Anfragen pro Sekunde und werden von ihrem redundanten Reverse-Proxy-Cluster mit einer Kapazität von 40 Gbit/s betrieben.

3. Technische Details

  • ICMP / IGMP (einschließlich PING) wird verworfen
  • UDP-Quellport 19, 69, 111, 123, 137, 161, 389, 520, 1434, 1900, 9987, 11211 sind begrenzt (10Mbit)
  • TCP / UDP Fragmentiert (Pakete größer als 1500 Byte) werden verworfen
  • Die UDP-Zielports 9000 bis 9999 werden streng gegen TeamSpeak 3-Pakete gefiltert
  • Die UDP-Zielports 27000 bis 29000 werden strikt gegen Source Engine-Pakete gefiltert
  • Der UDP-Zielport 53 wird strikt gegen DNS-Pakete gefiltert und erzwingt eine TCP-Kürzung
  • Die Route beim Ausführen einer Traceroute oder MTR endet bei edge1.ffmX.combahton.net
  • Bei aktivierter HTTP Layer7 Mitigation wird der gesamte TCP-Datenverkehr an den Ports 80 und 443 über einen Reverse-Proxy geleitet
  • Der gesamte Datenverkehr (außer TCP / UDP) und wird blockiert

Der gesamte weitere Verkehr (TCP / UDP) wird streng validiert:

TCP-Verbindungen sind nur möglich, wenn zuvor ein TCP-SYN- oder SYN-ACK-Paket gesendet und akzeptiert wurde, die Filter agieren als eine Art asynchrone Stateful-Firewall für Serveranwendungen. Der Aufbau einer ersten Verbindung (SYN oder SYN-ACK) kann deutlich länger dauern oder beim ersten Mal unterbrochen werden, Webseiten können etwas langsamer laden.

UDP-Verbindungen sind nur möglich, wenn sie von einem „gültigen Client“ ausgeführt werden, Spoofing wird durch eine intelligente Anpassung aller Verbindungsparameter verhindert.