DDoS-Verkehr blocken und Daten weiter analysieren
DE-CIX erweitert DDoS-Schutz
Vor Distributed-Denial-of-Service Angriffen sind Unternehmensnetze am besten geschützt, wenn der zerstörerische Traffic gar nicht bis zu ihnen durchdringt. Mit dem sogenannten Blackholing Advanced will DE-CIX diesen Schutz intelligenter gestalten.
DE-CIX (Deutscher Commercial Internet Exchange) betreibt weltweit mehrere große Internetknoten, am bekanntesten ist hierzulande sicher der in Frankfurt. Mit einem Datendurchsatz von mehr als 10 TBit/s und über 1.000 angeschlossenen Netzwerken ist er der weltweit größte Internetknoten. Seit Kurzem bietet der Interconnection- und Peering-Anbieter als Schutz vor DDoS-Angriffen sein sogenanntes Blackholing Advanced an. Der Vorteil: Nicht nur bleiben die DE-CIX-Kunden vom sabotierenden Datenverkehr verschont, vielmehr soll gewünschter Traffic dennoch zu ihnen durchkommen.
Blackholing bedeutet, dass der Datenfluss zu einer bestimmten IP-Adresse, dem Blackhole, umgeleitet wird, das den Datenverkehr dann verwirft. Als Ergebnis erreicht kein Datenverkehr das ursprüngliche Ziel, was bedeutet, dass Peering-Links, Netzwerke und Hosts geschützt sind, die sich innerhalb der aus Blackholing-Prefixes gebildeten Gruppe befinden. Daher gilt Blackholing als effektive Methode, um die Auswirkungen von Distributed-Denial-of-Service-Angriffen zu verringern.
Beim Blackholing entfernt DE-CIX den unerwünschten Datenverkehr vom Anschluss des Kunden. CTO Dr. Thomas King dazu im Gespräch mit LANline: „Das ist zwar nach wie vor auch ein sinnvolles Vorgehen. Es kann jedoch sein, dass der Angreifer damit sein Ziel auf eine gewisse Weise womöglich doch erreicht. Denn das Opfer ist ja dann schlimmstenfalls von der Datenkommunikation abgekoppelt.“ Blackholing Advanced löse dieses Problem, indem es die Möglichkeit eröffnet, den an das Blackholing-Präfix gerouteten Datenverkehr zu gestalten. DE-CIX-Kunden können auf diese Weise weiterhin einen Teil des Datenverkehrs inspizieren und gleichzeitig ihre Infrastruktur vor Überlastungen schützen, wie der Betreiber ausführlich auf seiner Website erläutert. „Der Wunsch nach einer Steuerung des Datenflusses auch auf Layer 4 kam von Anwenderseite“, erklärte King weiter. „Die Selektion der durchgelassenen Daten erfolgt permanent auf Basis der vom Kunden definierten Filter.“ Für das Handling gibt es ein spezielles Dashboard.
Die Bedenken, dass eine oder mehrere solcher Attacken die DE-CIX-Infrastruktur selbst außer Betrieb setzen könnte, konnte King überzeugend zerstreuen. „Unsere Kapazitäten sind darauf ausgelegt, damit leicht fertig zu werden.“ Die Reaktion auf einen sich aufbauenden Angriff erfolge nicht in Software, sondern in der Programmierung der entsprechenden ASICs der Router, was in Zeiträumen von Sekunden zu bewerkstelligen sei.
Um die Dimensionen zu verdeutlichen: An 28 Standorten in Europa, Nordamerika, dem Nahen Osten und Asien verbindet DE-CIX knapp 2.200 Netzbetreiber (Carrier), Internet-Service-Provider (ISPs), Content-Anbieter und Firmennetze aus mehr als 100 Ländern miteinander und bietet Peering-, Cloud- und Interconnection-Services an. Zusammen bilden die DE-CIX-Internetknoten mit einer angeschlossenen Kundenkapazität von mehr als 75 TBit/s das nach eigenen Angaben weltweit größte neutrale Interconnection-Ökosystem.
Die Teams in den Kundenunternehmen sind laut Dr. King in den allermeisten Fällen in puncto Know-how bestens für den Einsatz dieser Technik vorbereitet: „Das System ist hocheffektiv, aber auch kein Hexenwerk.“ Ein SOC, also ein regelrechtes Security Operations Center, sei dazu beim Kunden nicht erforderlich.
Die Blackholing-Lösung ermöglicht einen granularen Schutz von Präfixen nur, wenn die Peering-ASs (Autonomous Systems) Präfixe bis zu einer Größe von 32 (IPv4) oder 128 (IPv6) akzeptieren. Der tägliche Betrieb habe gezeigt, dass dies nicht immer der Fall ist. Selbst wenn ein Präfix als Blackhole angekündigt werde, könne es daher sein, dass an das Präfix dennoch DDoS-Verkehr gelangt. Blackholing Advanced löse dieses Problem, indem es sich nur auf Router und Switches verlasse, die DE-CIX gehören und auch vom Dienstleister verwaltet werden. Nach der Aktivierung des Blackholing-Advanced-Features stehen derzeit mehrere Regeln zum Verwerfen oder Gestalten des Datenverkehrs zur Verfügung und können zum Blockieren bestimmter IP-Pakete dienen, indem Extended BGP Communities (Border Gateway Protocol) zur Initiierung des Dienstes zum Einsatz kommen.
Die Erteilung eines Patents für die Filtermechanismen wertet Dr. King als Belohnung für die jahrelange Forschung sowie für ständige Marktbeobachtungen und Bedarfsanalysen.
Lesen Sie mehr zum Thema
