DDoS-Schutz >


Analyse von DDoS-Angriffen




Wie werden DDoS-Angriffe erkannt?



Erkennung des Angriffs



Um Angriffe zu erkennen, kommt bei OVH die so genannte Netflow-Technologie zum Einsatz. Hierbei wird der Netflow-Datenfluss von den Routern versandt und von der Arbor PeakFlow Hardware analysiert. Jeder Router übermittelt dabei eine Zusammenfassung von etwa 1/2000 des Gesamt-Traffics, der ihn passiert. Die Arbor PeakFlow Hardware analysiert diese Zusammenfassung und vergleicht sie mit den Signaturen von Angriffen. Bei einer Übereinstimmung wird der DDoS-Schutz innerhalb weniger Sekunden aktiviert.

Die Analysen basieren auf Traffic-Schwellenwerten für bestimmte Paket-Typen, die in Bits pro Sekunde (bit/s, Kbit/s, Mbit/s, Gbit/s) oder in Paketen pro Sekunde (pps, Kpps, Mpps, Gpps) gemessen werden.


  • DNS
  • ICMP
  • IP Fragment
  • IP NULL
  • IP Private
  • TCP NULL
  • TCP RST
  • TCP SYN
  • UDP
  • Gesamter Traffic.

Da Angriffe nur bei Überschreitung bestimmter Schwellenwerte erkannt werden und lediglich etwa 1/2000 des tatsächlichen Traffic analysiert wird, kann es zwischen 15 und 120 Sekunden dauern, bis der Schutz aktiv ist.