DDoS Protection bei Artfiles

Die zusätzliche DDoS-Protection können wir Ihnen in fast allen von uns angebotenen Tarifen anbieten. Im Webhosting erhalten Sie zum Schutz Ihrer Domains eine eigene IPv4-Adresse, in einem af.stack, Dedicated Server oder Rackspace Tarif können Sie alternativ auch ein eigenes Prefix erhalten.

DDoS – was ist das eigentlich?

DDoS – jede, die mit Servern oder Domains zu tun hat, wird dieses Wort vermutlich schonmal gehört haben. Aber was ist ein DDoS?

DDoS steht für Distributed Denial of Service und bezeichnet das gezielte Außerbetriebsetzen von Diensten. Hierbei agieren viele unterschiedliche Server zusammen gegen das gewünschte Ziel, dabei soll meist eine Domain oder ein ganzer Server mit so vielen Anfragen überhäuft werden, dass diese nicht mehr erreichbar sind.

Die Art der Angriffe kann dabei variieren, lassen sich jedoch eingruppieren in Angriffe auf Netzwerkebene (Layer 3/4) oder Anwendungsebene (Layer 7).

Einschub: Die Layer beziehen sich auf das in der IT gängige OSI-Modell. Ausführliche Erklärungen hierzu finden Sie z.B. bei Wikipedia.

Auf Netzwerkebene sind z.B. SYN-Floods eine beliebte Art von Attacken. Hierbei macht man sich den Threeway-Handshake des TCP-Protokolls zu Nutze, dabei sendet der Client erst ein Paket mit dem SYN-Flag an den Server, dieser antwortet mit einem SYNACK und der Client bestätigt nochmal mit einem ACK. Erst dann ist eine Verbindung über das TCP-Protokoll aufgebaut. D.h. bei einem Angriff erhält der Server meist Hunderttausende oder Millionen an Paketen mit diesem SYN-Flag und müsste diese theoretisch alle beantworten, was durch die schiere Masse an Paketen gar nicht mehr möglich ist und somit können auch legitime Anfragen nicht mehr beantwortet werden – die Angreifer haben ihr Ziel erreicht.

Auf Anwendungsebene sind Angriffe sehr viel schwieriger auszumachen, da sich die Angreifer zumeist „normale“ Anfragen schicken. Das Prinzip ist aber wieder dasselbe, es werden z.B. so viele Anfragen an eine Domain geschickt, dass der Webserver diese Anfragen nicht mehr abarbeiten kann bzw. nur sehr langsam, wodurch dann auch hier wieder legitime Anfragen nicht mehr durchkommen.

Was können wir dagegen tun?

Unser Netzwerk kommuniziert mit anderen Netzwerken über leistungsstarke Juniper Router, die ohne Probleme größere Mengen an Paketen oder Bandbreiten abarbeiten können, jedoch greifen hier keine Abwehrmaßnahmen. Diese sind auf den dahinterliegenden Firewalls möglich. In der Colocation haben wir mehrere Firewalls, welche aus zwei redundanten Servern bestehen und natürlich rund um die Uhr gemonitort werden. Diese Redundanz erlaubt es uns z.B. Limits auf einem Server entsprechend anzupassen und angegriffene Kundennetze auf einem Server zu isolieren.

Die Abwehr von DDoS-Angriffen auf unseren Firewalls ist natürlich nur bis zu einem gewissen Grad möglich und hier kommt dann unser Partner Path Network in Spiel.

Wie läuft das denn mit Path Network?

Seit August 2023 ist Path Network unser Partner für DDoS-Protection. Path Network ist spezialisiert auf die schnelle Erkennung und Abwehr von DDoS-Angriffen, dabei spielt es keine Rolle, um welche Art von Angriff es sich handelt und ist damit die ideale Ergänzung zu unseren bestehenden Services.

Wir sind mit 3 GRE-Tunneln an das globale Anycast-Netzwerk von Path Network angeschlossen. Je ein GRE-Tunnel terminiert in den Rechenzentren Wendenstraße 408, Colo1 und Colo2 sowie im Lumen Rechenzentrum S198, so dass auch bei Wartungsarbeiten immer mindestens ein Tunnel zur Verfügung steht. Der Traffic, der zu uns reinkommt, nimmt dabei immer den nächstgelegenen PoP (Point of Presence), im Normalfall ist dies Frankfurt am Main, die Alternativ-PoPs wären Amsterdam oder Warschau, was sich jedoch nur minimalst auf die Latenz auswirken würde.

Jeder PoP von Path Network  – von denen es mehr als 20 rund um die Welt gibt – hat dabei ein Minimal-Setup von 300G, Frankfurt knapp 1T, d.h. es steht ausreichend Bandbreite zur Verfügung, um auch größere Attacken abzufangen.

Durch die uns nun zur Verfügung stehenden API können wir Ihnen zukünftig dann auch noch weitere Funktionen im DCP anbieten, wie z.B. das Anlegen von eigenen Rate-Limits oder Blocklisten sowie eigene Firewallregeln. Dies ist quasi die nächste Abwehrbarriere um unliebsamen Traffic vom eigenen Server fernzuhalten, auch wenn es kein DDoS-Angriff ist.

Weitere Informationen finden Sie auch unter https://www.artfiles.de/network/products/ddos/ oder sprechen Sie uns gerne an!