DDoS-Schutz

Unsere einzigartige, eigenentwickelte DDoS-Schutzlösung bietet Ihnen einen intelligenten und flexiblen Schutz gegen alle erdenklichen DDoS-Angriffsszenarien auf Layer 3 bis Layer 7.


Was sind DDoS-Attacken?

DDoS-Attacken verfolgen das Ziel die attackierte Ressource unerreichbar zu machen. Der Angreifer sendet hierzu massenhaft Traffic an das Zielsystem, wodurch sämtliche Bandbreiten- bzw. Rechenkapazitäten vollständig überbelastet bzw. ausgeschöpft werden. Sofern der Serveranbieter bei eingehenden Attacken die Ziel-IP-Adresse sperrt (Blackholing / Nullrouting), ist der Schaden meist noch wesentlich größer: Die gut besuchte Ecommerce-Plattform, das Webhostingsystem mit vielen anderen Kunden oder die eigene Firmenpräsenz ist Stunden- oder Tagelang unerreichbar. Da die meisten Hostinganbieter über niedrig dimensionierte Außenanbindungen verfügen, werden unter Umständen auch andere Kunden beeinflusst.
Generell ist die Ausübung von DDoS-Attacken strafbar, die eigentlichen Akteure lassen sich in der Regel aufgrund von Verschleierungsmaßnahmen nicht ausfindig machen.


Wie funktioniert der combahton DDoS-Schutz?

Der combahton DDoS-Schutz ist mehrstufig aufgebaut und basiert hauptsächlich auf unserer "flowShield" Eigenentwicklung, welche den eingehenden Traffic dynamisch auf Validität prüft. Unsere Lösung ist in der Lage auch unbekannte DDoS-Bedrohungen innerhalb von Sekunden zu erkennen und diese bereits vor Ihrer Infrastruktur auszufiltern. Die Filterung erfolgt transparent und asymetrisch ohne Ihr Zutun: Im Angriffsfall aktiviert sich standortübergreifend die gesamte Schutzinfrastruktur und blockiert schadhaften Traffic.


Welche Technologien kommen zum Einsatz?

Als technologisch fortschrittliches Unternehmen ist unsere gesamte DDoS-Schutzlösung eigenentwickelt. Wir vertrauen nicht auf die meist sehr unflexibel aufgebauten Hardware Appliances von Marktführern. In unseren Tests hat sich gezeigt, dass diese meist entweder sehr gut mit Angriffen auf spezifische Protokolle umgehen können, jedoch die notwendige Flexibilität fehlt um z.B. auf komplexe UDP Floods oder Layer7 Attacken zu reagieren. Auf Basis mehrerer Jahre Entwicklungsarbeit ist es uns gelungen eine allround Schutzinfrastruktur zu entwickeln, welche alle Attacken problemlos terminiert.

Unsere Anwendung basiert auf sehr effizientem Code und ist vollständig in C entwickelt. Zur Beschleunigung der Anwendung auf Netzwerkebene kommt Netmap als Kernel Bypass zum Einsatz. Wir erreichen darauf basierend mit einem aktuellen Intel Xeon E5 System und 16 CPU Kerne in etwa 96mpps an Kapazität je DDoS-Filter.


Die passende Schutzlösung

Entsprechend den Einsatz-Szenarios unserer Kunden, bieten wir unterschiedliche Lösungen an, um jederzeit einen zuverlässigen Betrieb zu gewährleisten. Dies umfasst in der Basis das Monitoring aller Prozessabläufe, als auch den proaktiven Eingriff durch combahton Mitarbeiter, sofern Anomalien wie z.B. erhöhter Clean Traffic auftreten sollten.

Wir bieten Ihnen folgende Schutzlösungen standardmäßig an:

Reverse Proxy

Zur Abwehr von Attacken auf Ihre bestehenden Webanwendungen bieten wir Ihnen unseren Layer7 DDoS-Proxy an. Jede Anfrage auf Ihre Webserver wird zuvor durch die Infrastruktur von combahton auf Echtheit verifiziert. Die Reverse-Proxy Variante lässt sich am einfachsten in Ihre bestehende Infrastruktur integrieren und erfordert lediglich eine Rekonfiguration Ihrer DNS Einträge auf die von uns bereitgestellten, geschützten IP-Adressen. Die SSL Terminierung, Loadbalancing und Caching statischer Inhalte kann ebenfalls durch den combahton Layer7 DDoS-Proxy erfolgen - dies erspart Ihnen die kostenintensive Bereitstellung von Server-Kapazitäten und zugleich Traffic.

BGP Session

Sofern Sie ein eigenes AS (Autonomous System) betreiben, lässt sich unser DDoS-Schutz auch per BGP bereitstellen. Hierzu wird lediglich ein GRE Tunnel oder Crossconnect zu unserer Infrastruktur benötigt. Auf diesem Weg lassen sich ganze Providernetze binnen Sekunden mit niedrigen Betriebskosten schützen. Über unsere Anti-DDoS API können Sie zudem jederzeit kundenspezifische Anpassungen durchführen.

Protected Subnet

Ihre Prefixe bzw. Subnetze werden durch combahton announced und per Static Route bzw. im VLan übergeben. Diese Variante eignet sich optimal um bestehende Infrastrukturen ohne eigenes AS vor DDoS-Attacken zu schützen.

Inhouse Protection

Bei dieser Variante wird unsere Filterl√∂sung in Ihrem Netzwerk integriert. Sie mieten hierbei die Hard- und Software nach benötigtem Schutzvolumen. Vorteilhaft ist diese Variante, sofern Sie selbst über ausreichend Außenanbindung verfügen um auch großen Attacken standzuhalten. Ebenfalls eignet sich die Inhouse Lösung optimal als weitere Schutzebene nach bestehenden Lösungen, welche erfahrungsgemäß nicht immer alle untypischen DDoS-Bedrohungen ausfiltern können. Unsere kleinste Appliance bieten wir mit bis zu 10Gbit / 14,8mpps Filterkapazität an, das Management erfolgt durch uns.


Sofern Sie bereits DDoS-Attacken ausgesetzt sind, können Sie sich auch jederzeit an uns wenden, unser DDoS-Schutz kann auch kurzfristig binnen weniger Minuten bereitgestellt werden.

¬© 2015-2018 combahton IT Services UG (haftungsbeschränkt)