DDoS Protection - Allgemeine Informationen

Die aktuelle Filterkapazität beträgt bis zu 250Gbit / 370mpps bzw. 2 Millionen HTTP Requests pro Sekunde und ist über mehrere Filterlösungen realisiert. Wir setzen hierbei sowohl auf die Vorfilterung unserer Carrier als auch unsere eigenen DDoS-Filter welche einer stetigen Optimierung und Weiterentwicklung unterstehen. Eine große DDoS Attacke wird z.B. bereits an den Eintrittspunkten unserer Carrier limitiert und erreicht nur noch mit wenigen Mbit unsere Uplinks.

Mehrere voluminöse Attacken konnten wir über dieses Setup in der Vergangenheit problemlos ausfiltern. Darunter auch eine DNS Reflection Attacke welche über 16 Stunden mit ca. 40Gbit/s auf einen Kundenserver abzielte als auch teilweise überaus voluminöse TCP und UDP Floods welche Peak um die 20mpps erreichten. Das Ziel waren hierbei jeweils prominenten Kunden mit bekannten Onlinediensten.

Angebote / Lösungen

Bei allen Angeboten ist unser DDoS-Schutz standardmäßig kostenfrei inklusive. Für gehobene Ansprüche bieten wir optional 24/7 erreichbaren Support, individuelle ACL Filter, individuelle Protokollfilter und kundenspezifisches Monitoring an. Ebenso besteht die Möglichkeit unseren DDoS-Schutz per GRE Tunnel oder Crossconnect via BGP oder Statisches Routing zu beziehen.

Funktionsweise

  1. Messen und Erfassen des Traffic im Netzwerk per sflow
  2. Erkennung einer Attacke anhand gewisser Muster / Schwellwerte
  3. Aktivierung der DDoS-Filter per BGP Announcement binnen 2-3 Sekunden → Layer7 muss gesondert aktiviert werden
  4. Permanentes Monitoring der Schutzinfrastruktur mit Alerting der Bereitschaft im Falle einer Umgehung der Filter anhand von Schwellwerten und Anomalien

Filtermechanismen

  1. Vorfilterung durch unsere Upstreams
  2. Vorfilterung durch unsere Edge-Router
  3. Granulare Filterung durch DDoS-Filter auf Basis von flowShield
  4. User Validation Filterung bei HTTP Layer7 Attacken durch redundantes Reverse Proxy Cluster

Protokollspezifische Filterung

Aktuell werden folgende Protokolle auf Basis einer User- / Bot Verhaltensmusteranalyse vor Layer7 Attacken geschützt:

  • SAMP Server
  • Teamspeak3 Server
  • Source Engine Server
  • Diverse weitere Gameserver
  • HTTP Layer7 Mitigation ist per Kundenbereich aktivierbar, optionale Anpassung gegen Aufpreis von 49€ pro Monat inkl. MwSt.

HTTP Layer7 Filterung

  • Bis zu 2 Millionen HTTP(S) Requests pro Sekunde
  • Redundantes Reverse Proxy Cluster mit 40Gbit/s Kapazität
  • Optionale Anpassungen gegen Aufpreis möglich (ggf. Whitelisting, SSL Zertifikate, usw.)
  • Wir empfehlen die Nutzung von libapache2-mod-rpaf / mod_remoteip zwecks fehlerfreier Übergabe der realen Client IP-Adresse

Technische Beschränkungen

  • ICMP / IGMP (u.a. PING) wird verworfen
  • UDP Source-Port 19, 69, 111, 123, 137, 161, 389, 520, 1434, 1900, 9987, 11211 werden limitiert (10Mbit)
  • TCP / UDP Fragemente (Pakete größer als 1500 byte) werden verworfen
  • UDP Destination Port 9000 bis 9999 wird strikt gegen Teamspeak3 Pakete gefiltert
  • UDP Destination Port 27000 bis 29000 wird strikt gegen Source Engine Pakete gefiltert
  • UDP Destination Port 53 wird strikt gegen DNS Pakete gefiltert und erzwingt TCP Truncation
  • Die Route bei Ausführen eines Traceroute oder MTR endet an edge1.ffmX.combahton.net
  • Bei aktiver HTTP Layer7 Mitigation wird sämtlicher TCP Traffic auf Port 80 und 443 durch einen Reverse Proxy geroutet
  • Bei aktiver HTTP Layer7 Mitigation ist der Einsatz von Cloudflare nicht möglich, da hierbei sonst eine Schleife in der DNS Auflösung entsteht
  • ​​​​​​​Jeglicher Traffic (außer TCP / UDP) und wird blockiert

​​​​​​​Aller weiterer Traffic (TCP / UDP) wird strikt validiert:

  • TCP Verbindungen sind nur möglich, sofern zuvor ein TCP SYN oder SYN-ACK Paket gesendet und akzeptiert wurde, die Filter verhalten sich hierbei wie eine Art asynchrone Stateful Firewall für Serveranwendungen. Der Aufbau einer ersten Verbindung (SYN bzw. SYN-ACK) dauert womöglich deutlich länger oder wird erstmalig unterbrochen, Webpräsenzen laden ggf. etwas langsamer
  • UDP Verbindungen sind nur möglich, sofern diese von einem „validen Client“ durchgeführt werden, Spoofing wird durch einen intelligenten Abgleich aller Verbindungsparameter unterbunden