DDoS-Protection bei und von SysEleven

DDoS Protecttion mit FlowSpec bei SysEleven

Bei fast jeder Fachkonferenz zum Thema Internet- und Infrastruktursicherheit gibt es Vorträge zu DDoS-Angriffen, dessen Auswirkungen und potenzielle Gegenmaßnahmen. Oft wird mit großen Zahlen und Attacken im Terabit-Bereich hantiert. Doch wie sieht die Realität im täglichen Umgang mit diesen Angriffen aus? Und wie funktioniert die DDoS-Protection bei SysEleven?

DDoS-Angriffe bei SysEleven: Status Quo

DDoS-Attacken sind auf Volumen oder Frequenz angelegten Angriffe, die darauf abzielen einen Dienst, einen Server, ein DataCenter oder gar einen ganzen Provider vom Netz (also offline) zu nehmen. Fast kein Tag vergeht ohne Angriffe auf die SysEleven-Infrastruktur oder Dienste unserer Kunden. Der Großteil richtet sich auf Kunden, die am Markt sehr erfolgreich sind, und deshalb ein attraktives Ziel für entsprechende Gruppen und Konkurrenten darstellen. Nicht selten versuchen die Angreifer vorher die Kunden zu erpressen um eine Zahlung für ausbleibende DDoS Angriffe zu erreichen. Die meisten dieser Attacken haben ein Volumen von 1 bis 100 Gigabit – wobei die Größe nicht immer entscheidend ist.

Auch kleine Angriffe können Server, VMs oder deren Applikation erheblich beeinträchtigen, wenn sie auf das gewünschte Ziel zugeschnitten wurden. Während unspezifische Angriffe relativ leicht abgewehrt werden können, braucht es bei gezielten Attacken auch spezielle Abwehrtechniken. Jedem SysEleven-Kunden werden in solchen Fällen adäquate Gegenmaßnahmen angeboten. Dies bezieht sich sowohl auf präventive Maßnahmen, als auch auf Abwehrmechanismen, wenn der Angriff bereits laufen sollte.

DDoS-Protection bei SysEleven: Lines of Defense

SysEleven betreibt als einer der wenigen Anbieter am Markt den kompletten Infrastruktur-Stack. Das bedeutet: Wir betreiben alle Layer selbst und haben entsprechende Eingriffsmöglichkeiten, die andere Anbieter ohne eigene Infrastruktur nicht bieten können.

So können wir Attacken beispielsweise über unsere DataCenter Firewalls, Load Balancer, Web Application Firewalls oder unseren Internet Backbone mit über 200 Gigabit Kapazität abfangen – je nachdem, auf welcher Ebene die Gegenmaßnahme am effektivsten ist. Für ein möglichst hohes Maß an Schutz kombinieren wir dabei auch mehrere Technologien und arbeiten an der Weiterentwicklung und Implementierung neuer Tools und Konzepte.

In unserem Backbone arbeiten wir neuerdings mit einem weiteren mächtigen Instrument für die DDoS-Protection: FlowSpec.

FlowSpec – Eine neue Waffe im Arsenal

FlowSpec erlaubt das Verteilen von Traffic-Filtern im gesamten SysEleven Backbone Network per BGP. Das klingt zunächst simpel, hat jedoch wichtige Vorteile für die DDoS-Protection.

BGP ist das grundlegende Protocol auf dem das Routing des gesamten Internets basiert. Es sorgt für einen ständigen Austausch von Route-Informationen zwischen allen Netzen weltweit und ist das Rückgrat des Internets. Doch BGP kann noch mehr: Korrekt konfiguriert und auf aktueller Hardware eingesetzt wird damit jeder Router zu einem Mitigation Device und kann gezielt DDoS-Traffic verwerfen, noch bevor er sein Ziel erreicht.

Denn üblicherweise fließen größere DDoS-Angriffe über diverse benachbarte Provider in das Netz des Angriffsziels und erreichen ihre volle Stärke, umso näher sie dem eigentlichen Ziel kommen. Wenn SysEleven diesen Traffic entgegen nimmt, verteilt sich der Angriff auf aktuell bis zu 14 Außenanbindungen – Tendenz steigend. Entsprechend schwächer sind diese 14 Angriffe einzeln betrachtet. FlowSpec versetzt uns nun in die Lage all diese 14 kleineren Angriffe gleichzeitig, direkt bei Eintreten in unser Netz und mit nur einem Eingriff zu unterbinden. Und für die Verteilung der Flow-Spec-Regeln sorgt BGP!

Die dezentrale Natur von FlowSpec ist dabei der entscheidende Vorteil: Während zentrale Firewalls und Scrubbing Appliances wie ein Nadelöhr wirken können und schnell mit Datenmengen von X-mal 100 Gigabit/s überfordert sind, verteilen wir mit FlowSpec die Mitigation und können dabei die volle Kapazität aller beteiligter Backbone Router nutzen.

Ganz nebenbei sind auch Rate Limits dank FlowSpec möglich. Damit kann man zum Beispiel kleine Teile des Angriffs zwecks Analyse passieren lassen. Die Ergebnisse lassen sich während des Angriffs oder in der Nachbereitung zur Erweiterung bereits bestehender Best-Practice-Filter nutzen.

Das reicht noch nicht? Hier gibt‘s mehr

Sollten mehrere 100 Gigabit/s Kapazität bei SysEleven für einen Angriff mal nicht reichen, lassen sich FlowSpec-Regeln auch an andere Provider weitergeben. Das Filtering findet in diesem Fall nicht nur bei SysEleven selbst sondern auch bei ausgewählten Upstream-Providern statt. Die Mitigation wird auf diese Weise immer weiter von seinem eigentlichen Ziel entfernt, was eine noch effektivere Abwehr ermöglicht.

Werden Firewalls, Scrubbing Appliances und Load Balancer damit unnötig im Sinne der DDoS Mitigation? Nein, denn wie oben erwähnt wird in jedem Layer performante und redundante Infrastruktur benötigt um die übrige Last zu bewältigen. Dazu kommt, dass jede der erwähnten Komponenten individuelle Stärken für die DDoS-Mitigation besitzt. Diese Maßnahmen und Technologien lassen sich kombinieren, um ein optimales Ergebnis für unsere Kunden zu erzielen.

Wer mehr über das Thema wissen möchte: Beim DENOG8 in Darmstadt hat Theo Voss, Teamlead Network, ebenfalls Einblicke in die Praktiken und Erfahrungen der DDoS-Mitigation gegeben. Besonders ab Minute 14 wird es spannend, also unbedingt reinschauen!