March 6, 2026

IP Plan für DDoS Scrubbing: Anycast, GRE Tunnels und Return Paths

Die zunehmende Bedrohung durch DDoS-Angriffe erfordert ein sorgfältig geplantes IP-Adressierungskonzept für Scrubbing-Services. Eine saubere Adressierung, Anycast-Architektur und geeignete Tunnelmechanismen sind entscheidend, um Angriffe effektiv abzufangen und legitimen Traffic zuverlässig zurückzuleiten.

Anycast für DDoS Scrubbing

Anycast ermöglicht es, mehrere Scrubbing-Punkte unter derselben IP-Adresse erreichbar zu machen. Dies verteilt Last und sorgt für niedrige Latenzen.

Designüberlegungen

  • Jeder Scrubbing-Standort erhält eine /32 IPv4 oder /128 IPv6 Adresse als Anycast-Prefix
  • Globale BGP-Advertisement der Anycast-Prefixe
  • Routing-Policies müssen Blackhole-Prävention und Traffic Engineering berücksichtigen
  • Dokumentation der Anycast-Pfade im IPAM
  • Redundanz: Mehrere Anycast-Peers pro Standort für Ausfallsicherheit
router bgp 65000
  network 203.0.113.100 mask 255.255.255.255
  neighbor 192.0.2.1 remote-as 65001
  neighbor 192.0.2.2 remote-as 65002

GRE-Tunnel für Scrubbing-Traffic

Um Traffic von entfernten Aggregationspunkten zu Scrubbing-Centern zu leiten, eignen sich GRE-Tunnel. Sie kapseln Traffic unabhängig von der ursprünglichen Quell-IP.

Best Practices für Tunnel

  • Dedizierte /30 Subnetze für Punkt-zu-Punkt GRE-Verbindungen
  • IPv6: /64 pro Tunnel-Endpunkt
  • Redundante Tunnel pro Standort, Load-Balancing über Routing
  • MTU-Anpassung beachten, um Fragmentierung zu vermeiden
  • Monitoring der Tunnel-Performance und Latenzen
interface Tunnel10
  ip address 10.255.10.1 255.255.255.252
  tunnel source 198.51.100.1
  tunnel destination 198.51.100.2
  tunnel mode gre ip

Return Paths nach Scrubbing

Der gesäuberte Traffic muss zuverlässig an den ursprünglichen Ingress zurückgeleitet werden. Die Adressierung und Routinggestaltung ist hierbei kritisch.

Designprinzipien

  • Jeder Scrubbing-Punkt benötigt dedizierte Return-Prefixe für die Backhaul-Links
  • IP-Pools klar getrennt von Anycast-Prefixen, um Loopbacks und Routing-Probleme zu vermeiden
  • Route-Maps oder Policy-Based Routing (PBR) für gezielte Rückleitung
  • Dokumentation aller Return-Pfade im IPAM
  • Testing und Simulation von DDoS-Szenarien zur Validierung der Rückleitung
ip route 203.0.113.0 255.255.255.0 10.255.10.2
route-map RETURN-SCRUB permit 10
  match ip address prefix-list SCRUB-RETURN
  set ip next-hop 10.255.10.2

Redundanz und Skalierung

Ein resilienter Scrubbing-Service erfordert skalierbare Subnetze und Adressierung, um mehrere hundert Gbps DDoS-Traffic zu bewältigen.

  • Segmentierung der GRE-Tunnel in eigene Subnetze pro Standort
  • Anycast-Prefixe mehrfach in unterschiedlichen Regionen advertisen
  • Monitoring auf AS-Peer-Ebene zur Lastverteilung
  • Dokumentierte IP-Blöcke für zukünftige Expansion oder neue Scrubbing-Standorte

Dokumentation und Operations

Ein IP-Plan ist nur effektiv, wenn er auditierbar und nachvollziehbar ist.

  • Alle Anycast-, Tunnel- und Return-Prefixe im IPAM erfassen
  • Mapping zwischen Standort, Tunnel, Scrubber-IP und BGP-Peer
  • Standardisierte Namenskonventionen für Tunnel-Endpunkte
  • Regelmäßige Review-Zyklen bei Netzänderungen

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Cost-Aware Operations: Image Pull Policies, Cache und Bandbreite

Registry Mirror Setup: Pulls beschleunigen und Ausfälle überleben

Air-Gapped Deployments: Images, Dependencies und Updates offline managen

Compose Migration zu Swarm: Wann der Schritt Sinn macht

Compose Migration zu Kubernetes: Mapping von Services, Volumes, Secrets

Kubernetes vs. Compose: Betriebsaufwand, Resilienz und Komplexität

Multi-Host Networking ohne Kubernetes: Optionen und Grenzen

Security Posture Reviews: Threat Modeling für Compose Stacks

Incident Response für Container: Forensik, Artefakte, Evidence

Observability: OpenTelemetry Collector in Compose integrieren

Debugging ohne Shell: Distroless Container in Produktion analysieren

Metrics Pipeline: Prometheus + exporters für Container und Host