Infrastructure-DDoS-Protection

Infrastructure-DDoS-Protection

Smarter, Faster, Safer

Die Link11 Infrastructure-DDoS-Protection ist ein cloud-basiertes System zur Abwehr von
DDoS-Angriffen auf Anwendungen und Dienste in einem autonomen System. Das System umfasst dabei
eine global verteilte DDoS Scrubbing-Center-Architektur, um auch die größten DDoS-Angriffe abwehren zu können.

Schutz der Geschäfts-
Prozesse

vor DDoS-Attacken

Absicherung von
Kundennetzwerken

über Layer 2 und GRE-Tunnel

Garantierte DDoS-Mitigation

bis zu 1 Tbps in unserem globalen Multi-Terabit-Netzwerk

So funktioniert die Link11 Infrastructure-
DDoS-Technologie

icon-works

1
Der Kunde verbindet sich entweder mit einer physikalischer Leitung (L2) oder per GRE-Tunnel mit einem Link11-Rechenzentrumsstandort seiner Wahl.

2
Innerhalb dieser L2-Verbindung wird eine GBP-Verbindung zwischen Link11 und dem Kunden aufgesetzt, die zukünftig als Routenverteiler zwischen beiden Parteien agiert.

3
Ist dies erfolgt, kann der Kunde Link11 als Transit Provider zum Internet nutzen.

4
Zusätzlich hat der Kunde die Wahl, ob der eingehende Datenverkehr vollständig (Always-On), teilweise oder Stand-by über Link11 umgeleitet werden soll.

Infrastructure-DDoS-Protection

infrastrcture-ddos

Die Link11 Insights-Funktion

Wenn der Kunde seinen Datenverkehr im Stand-by über Link11 laufen lässt, hat er die optionale Möglichkeit, seine Traffic-Informationen zu exportieren und diese an die Link11 Insights-Lösung zu senden. Dort angekommen, werden die Daten statistisch ausgewertet und bei entdeckten Anomalien des Datenverkehrs Warnungen an den Kunden versandt.

Außerdem können Kunden in den Link11 Insights einen Auslöser für eine Datenumleitung aktivieren und konfigurieren. Dabei stehen gleich mehrere auswählbare Auslöser zur Verfügung:
  • Mbit pro Sekunde
  • Pakete pro Sekunde
  • Anzahl Verkehrsquellen
  • Anzahl Quellländer
  • Anzahl Internet-Service-Provider

DDoS- Filterung und Schutzmaßnahmen

01
Volumetrische Angriffe:
  • Botnet-basierte TCP-Floods
  • Botnet-basierte UDP-Floods
  • ICMP-Floods
  • UDP Amplification Reflection Floods
  • TCP Reflection Floods
  • Unbekannte/nicht spezifizierte Protokolle unter Verwendung von Künstlicher Intelligenz/maschinellem Lernen
02
Protokoll-Floods:
  • TCP-SYN
  • TLS / SSL
  • Ungültige Kombinationen von IP/TCP-Header-Flags
  • Unbekannte/nicht spezifizierte Protokolle unter Verwendung von Künstlicher Intelligenz/maschinellem Lernen
03
Ebenfalls gut zu wissen:
  • Durch die Kombination des Infrastrukturschutzes mit Link11 Web-DDoS-Protection können DDoS-Angriffe im TLS-verschlüsselten HTTP-Verkehr (HTTPS) erkannt und abgewehrt werden.
  • Für DDoS-Angriffe von IPv6 Netzwerken als auch zu IPv6 Netzwerken bietet Link11 einen Volumenschutz an. Dieser Schutz umfasst den Einsatz von Netzwerk-Policern auf den Routern, um typische DDoS- Attacken abwehren oder abmildern zu können.