DDoS-Attacken (Distributed-Denial-of-Service) gehören mittlerweile leider zum Alltag in der IT. Um die Bandbreite oder die Ressourcen eines Servers zu überlasten, wird dieser mit gefälschten Anfragen überflutet. Dabei werden oftmals massenhaft kompromittierte Rechner eingesetzt (Bot-Netze), um gigantischen Datenverkehr zu erzeugen. Die Folge sind hohe Ladezeiten Ihrer Website oder im schlimmsten Fall sogar der Totalausfall. Damit Ihre Web-Anwendungen, Websites, Server und IT-Infrastruktur gegen diese Gefahren abgesichert sind, setzen wir auf eine automatisierte Sicherheitslösung, bei der Angriffsmuster in den meisten Fällen frühzeitig erkannt und abgewehrt werden.
Während eines Angriffes bleibt der Server weiter erreichbar und Sie können die Dienste normal nutzen. Nicht relevante Ports werden solange der Angriff andauert geblockt, zum Beispiel icmp für Ping abfragen.
Was passiert bei einem Angriff
ICMP / IGMP (u.a. PING) wird verworfen
UDP Source-Port 19, 69, 111, 123, 137, 161, 389, 520, 1434, 1900, 9987, 11211 werden limitiert (10Mbit)
TCP / UDP Fragemente (Pakete größer als 1500 byte) werden verworfen
UDP Destination Port 9000 bis 9999 wird strikt gegen Teamspeak3 Pakete gefiltert
UDP Destination Port 27000 bis 29000 wird strikt gegen Source Engine Pakete gefiltert
UDP Destination Port 53 wird strikt gegen DNS Pakete gefiltert und erzwingt TCP Truncation
Bei aktiver HTTP Layer7 Mitigation wird sämtlicher TCP Traffic auf Port 80 und 443 durch einen Reverse Proxy geroutet
Bei aktiver HTTP Layer7 Mitigation muss Cloudflare deaktiviert werden, da sonst eine Schleife der DNS Auflösung entsteht
Jeglicher Traffic (außer TCP / UDP) und wird blockiert
Aller weiterer Traffic (TCP / UDP) wird strikt validiert:
TCP Verbindungen sind nur möglich, sofern zuvor ein TCP SYN oder SYN-ACK Paket gesendet und akzeptiert wurde, die Filter verhalten sich hierbei wie eine Art asynchrone Stateful Firewall für Serveranwendungen. Der Aufbau einer ersten Verbindung (SYN bzw. SYN-ACK) dauert womöglich deutlich länger oder wird erstmalig unterbrochen, Webpräsenzen laden ggf. etwas langsamer
UDP Verbindungen sind nur möglich, sofern diese von einem „validen Client“ durchgeführt werden, Spoofing wird durch einen intelligenten Abgleich aller Verbindungsparameter unterbunden
