DDoS-Schutz >


Analyse von DDoS-Angriffen




Wie werden DDoS-Angriffe erkannt?



Erkennung des Angriffs



Um Angriffe zu erkennen, kommt bei OVH die so genannte Netflow-Technologie zum Einsatz. Hierbei wird der Netflow-Datenfluss von den Routern versandt und von unseren Abwehr-Lösungen analysiert. Jeder Router übermittelt dabei eine Zusammenfassung von etwa 1/2000 des Gesamt-Traffics, der ihn passiert. Unsere Lösung analysiert diese Zusammenfassung und vergleicht sie mit den Signaturen von Angriffen. Bei einer Übereinstimmung wird der DDoS-Schutz innerhalb weniger Sekunden aktiviert.

Die Analysen basieren auf Traffic-Schwellenwerten, die in Paketen pro Sekunde (pps, Kpps, Mpps, Gpps) oder in Bits pro Sekunde (bit/s, Kbit/s, Mbit/s, Gbit/s) für bestimmte Paket-Typen gemessen werden:


  • DNS
  • ICMP
  • IP Fragment
  • IP NULL
  • IP Private
  • TCP NULL
  • TCP RST
  • TCP SYN
  • TCP ACK
  • UDP
  • ...

Je nach Art und Größe des Angriffs kann es zwischen 5 und 120 Sekunden dauern, bis der Schutz aktiv ist.