Sicherer Schutz über Combahton
Unsere DDoS-Schutzdienste werden von Combahton IT Services bereitgestellt, einem Spezialisten für hochwertige, fortschrittliche DDoS-Schutzdienste. Die aktuelle Filterkapazität beträgt 800 Gbit und wird durch mehrere Filterlösungen erreicht. Combahton verwendet die Vorfilterung von Netzbetreibern sowie deren kundenspezifische DDoS-Filter, die einer ständigen Optimierung und Weiterentwicklung unterliegen. Ein großer DDoS-Angriff zum Beispiel ist bereits an den Eintrittspunkten ihrer Träger begrenzt und erreicht ihre Uplinks nur mit wenigen Mbit. In der Vergangenheit konnte Combahton mit seinem strategischen Setup mehrere großvolumige Angriffe problemlos herausfiltern. Einer davon war ein DNS-Reflection-Angriff, der einen Server über 16 Stunden mit etwa 40 Gbit/s sowie einige extrem umfangreiche TCP- und UDP-Floods anvisierte, die Spitzenwerte von etwa 20 Mpps erreichten.
So funktioniert der DDoS-Schutz der Reihe nach. Messung und Aufzeichnung des Netzwerkverkehrs über Sample Flow Erkennung eines Angriffs anhand bestimmter Muster/Schwellenwerte Aktivierung von DDoS-Filtern per BGP-Ankündigung innerhalb von 2-3 Sekunden NOC überwacht permanent die Schutzinfrastruktur mit Alarmierung der Bereitschaft im Falle einer Filterumgehung basierend auf Schwellenwerten und Anomalien Filtermechanismen Vorfilterung durch Upstreams Vorfilterung durch den Edge-Router von Combahton Granulare Filterung durch DDoS-Filter basierend auf flowShield Benutzervalidierungsfilter für HTTP-Layer-7-Angriffe über einen redundanten Reverse-Proxy-Cluster Protokollspezifische Filterung Derzeit sind die folgenden Protokolle basierend auf einer Benutzer-/Bot-Verhaltensmusteranalyse vor Layer7-Angriffen geschützt: SAMP server Teamspeak3 Server Source engine server Various other game servers HTTP layer 7 mitigation HTTP Layer 7 Filtering Die ausgeklügelten Layer-7-Filter von Combahton unterstützen bis zu 2 Millionen HTTP(S)-Anfragen pro Sekunde und werden von ihrem redundanten Reverse-Proxy-Cluster mit einer Kapazität von 40 Gbit/s betrieben.
Der gesamte weitere Verkehr (TCP / UDP) wird streng validiert:
TCP-Verbindungen sind nur möglich, wenn zuvor ein TCP-SYN- oder SYN-ACK-Paket gesendet und akzeptiert wurde, die Filter agieren als eine Art asynchrone Stateful-Firewall für Serveranwendungen. Der Aufbau einer ersten Verbindung (SYN oder SYN-ACK) kann deutlich länger dauern oder beim ersten Mal unterbrochen werden, Webseiten können etwas langsamer laden.
UDP-Verbindungen sind nur möglich, wenn sie von einem „gültigen Client“ ausgeführt werden, Spoofing wird durch eine intelligente Anpassung aller Verbindungsparameter verhindert.