DDoS-Schutz >


DDoS-Schutz




Wie wird ein DDoS-Angriff abgewehrt?



Blockieren des Angriffs und Zulassen des erwünschten Traffics


Bei der Abwehr von DDoS-Angriffen werden automatisch Maßnahmen ergriffen, um deren negative Auswirkungen abzumildern. Um DDoS-Angriffen widerstehen zu können wird der nicht-legitime Traffic von der VAC Infrastruktur ausgefiltert, und es werden nur die legitimen Pakete weitergeleitet.


Die VAC Infrastruktur besteht aus mehreren Komponenten, die bestimmte Funktionen bei der Abwehr eines oder mehrerer Angriffstypen (DDoS, Flood...) übernehmen. Je nach Art des Angriffs können eine oder mehrere Abwehrstrategien auf den Elementen, die das VAC bilden, aktiviert werden.



Übersicht der VAC-Bestandteile

Router
Backbone
Router
Rechenzentrum


Mögliche Aktionen - Vorgelagerte Firewall :


  • UDP Fragment
  • Paketgröße
  • TCP, UDP, ICMP und GRE Protokolle erlauben
  • Alle anderen Protokolle blockieren.

Mögliche Aktionen - Firewall-Netzwerk :


  • Eine IP oder einen IP-Bereich erlauben oder blockieren
  • Ein Protokoll erlauben oder blockieren:
    • IP (alle Protokolle)
    • TCP
    • UDP
    • ICMP
    • GRE
  • Einen TCP oder UDP Port oder Portbereich erlauben oder blockieren
  • SYN/TCP Pakete erlauben oder blockieren
  • Alle Pakete außer SYN/TCP erlauben oder blockieren


Mögliche Aktionen - Tilera :


  • Fehlerhafter IP-Header
  • Ungültige IP-Prüfsumme
  • Ungültige UDP-Prüfsumme
  • ICMP Limitierung
  • Falsch fragmentiertes UDP Paket
  • DNS Amplification

Mögliche Aktionen - Arbor :


  • Fehlerhafter IP-Header
  • Unvollständiges Fragment
  • Ungültige IP-Prüfsumme
  • Dupliziertes Fragment
  • Zu langes Fragment
  • Zu kurzes IP / TCP / UDP / ICMP Paket
  • Falsche TCP/UDP Prüfsumme
  • Ungültige TCP Flags
  • Ungültige Sequenznummer
  • Zombie-Erkennung
  • TCP SYN Authentifizierung
  • DNS Authentifizierung
  • Fehlerhafte DNS Anfragen
  • DNS Limitierung