Wie wir DDoS-Angriffe abwehren
Einleitung
Unsere Netzwerke sind mit fortschrittlichen DDoS-Filtern geschützt, die so konfiguriert sind, dass sie Netzwerk-basierte DDoS-Angriffe nahezu in Echtzeit erkennen und abwehren können. Diese Maßnahmen sollen Lag und Serviceunterbrechungen verhindern und unseren Benutzern so eine stabile und unterbrechungsfreie Erfahrung bieten.
Technischer Überblick
Unsere DDoS-Schutzarchitektur besteht aus zwei Hauptkomponenten: Vorfilterung und Nachfilterung.
Vorfilterung durch Aurologic
Die Vorfilterung wird von Aurologic verwaltet, das effektiv groß angelegte Amplifikationsangriffe blockiert, die sonst unsere Netzwerkinfrastruktur überlasten würden. Auralogic kann auch verschiedene Arten von Layer-3- und Layer-4-Angriffen blockieren, wie zum Beispiel:
- TCP SYN Floods
- ICMP Floods
- UDP Reflection Attacks
- IGMP Floods
- IP Packet Fragment Attacks
- Und viele mehr...
AS203446 Nachfilterung
Was Aurologic durchlässt, wird anschließend von Nachfilterungssoftware behandelt. Diese Software wird von einem Cluster von Intel Xeon-Systemen mit Mellanox-Netzwerkkarten betrieben, die auf hohe Leistung und Skalierbarkeit ausgelegt sind.
Schutz vor Protokollangriffen
Die Nachfilterung kann folgende Arten von Angriffen blockieren:
- Ungültige Pakete
- Anomalie von TCP-Flag-Kombinationen (z. B. kein Flag, SYN-FIN, SYN-Fragment, LAND-Angriff)
- Schutz vor SYN-ACK-Amplifikationsangriffen
- IP-Optionen
- Überprüfung der Paketgröße (verhindert 'Ping of Death')
- TCP/UDP/SSL/ICMP-Flood-Schutz
- Traffic-Steuerung pro Verbindung
Herausforderungsbasierte Authentifizierung
Unsere Software verwendet auch verschiedene herausforderungsbasierte Authentifizierungsmechanismen:
- TCP SYN-Cookies, SYN-Authentifizierung
- ACK-Authentifizierung
- Spoof-Erkennung
- DNS-Authentifizierung
- Zero-day Automated Protection (ZAPR)
Wir setzen auch maschinelles Lernen ein, um Angriffsmuster in Echtzeit zu erkennen und zu filtern, was Folgendes bietet:
- ZAPR: maschinelles Lernen für die Erkennung von Angriffsmustern
- Verfolgung des TCP-Fortschritts
- Fähigkeit zur Verhinderung von Zero-Day-Angriffen
- Keine vorherige Konfiguration oder manuelle Intervention erforderlich
- Schnelle, automatisierte Reaktion
Durch die Integration fortschrittlicher KI-Techniken passt sich unser System an neue Formen von Netzwerkangriffen an und bietet so robuste Sicherheit bei minimaler Verzögerung oder Unterbrechung. Dies ermöglicht es uns, unseren Benutzern eine stabile, unterbrechungsfreie Erfahrung zu bieten.
Zusätzliche Abwehrtechniken
Individuelle Nachfilterung für spezielle Anforderungen
Für Kunden mit spezifischen Anforderungen oder solche, die komplexen Angriffen ausgesetzt sind, bieten wir Anpassungen an unserem Nachfilterungsprozess an. Dazu gehören unter anderem:
- Erklärung der benutzerdefinierten Nachfilterungsoptionen
- Geo-Ratenbegrenzungen oder -Sperrungen: Diese Einstellungen beschränken oder blockieren den gesamten eingehenden Verkehr aus bestimmten geografischen Regionen. Nützlich zur Abwehr von Angriffen, die aus bestimmten Regionen stammen.
- ASN-Ratenbegrenzung oder -Blockierung: Diese Funktion begrenzt oder blockiert den Verkehr aus bestimmten Autonomen Systemnummern (ASNs). Es ist besonders effektiv bei der Abwehr von groß angelegten Angriffen, die von einem einzelnen Netzwerkbetreiber ausgehen.
- IP-Blacklists: Eine Liste von IP-Adressen, die den Zugriff auf das Netzwerk verweigert. Dies ist effektiv, um bekannte bösartige Akteure zu blockieren.
- Paketlängenfilter: Diese Filter überprüfen die Größe jedes Datenpakets und blockieren verdächtig große oder kleine Pakete, um Angriffe, die die Paketgröße ausnutzen, wirksam zu verhindern.
- Und viele weitere...
Weitere Informationen im Support (DISCORD)
