Eine UDP Amplification Attack gehört zu den wirkungsvollsten DDoS-Methoden, weil sie zwei Vorteile kombiniert: sehr hohe Bandbreite am Ziel und vergleichsweise wenig Aufwand beim Angreifer. Die Grundidee ist simpel: Der Angreifer fälscht (spoofed) die Quelladresse von UDP-Anfragen so, dass sie auf das Opfer zeigt. Diese Anfragen gehen an öffentlich erreichbare „Reflektoren“ (z. B. offene DNS-Resolver,…
Ein DDoS-Scrubbing-Center ist in vielen Provider- und Enterprise-Netzen die letzte Verteidigungslinie, wenn volumetrische Angriffe (UDP Amplification, GRE-Floods, TCP-ACK-Floods) oder state-orientierte Angriffe (SYN Floods gegen Firewalls/LBs) die Edge-Kapazität oder die Service-Perimeter überfordern. Während lokale Filter (ACLs, Policer, uRPF) am Rand schnell greifen können, stoßen sie bei Leitungssättigung oder hoher Source-Diversität an Grenzen: Der Traffic ist dann…
Anycast Scrubbing gilt als eine der elegantesten Methoden, DDoS-Traffic zu absorbieren, weil es „von selbst“ skaliert: Derselbe Service-Prefix wird von vielen Scrubbing-PoPs via BGP annonciert, und der Internet-Traffic landet automatisch am topologisch „nächsten“ Standort. Im Idealfall entsteht dadurch keine harte Umschaltkante wie beim klassischen On-Demand-Diversion – und volumetrische Angriffe verteilen sich auf viele Standorte, statt…
Traceroute „keine Antwort“ im Backbone ist eines der häufigsten Missverständnisse im Provider-Betrieb: Ein Hop zeigt Sternchen oder „no reply“, und sofort entsteht die Vermutung, genau dort sei der Fehler oder ein Blackhole. In der Realität ist „keine Antwort“ bei Traceroute in Backbone-Netzen oft völlig normal – und manchmal sogar ein bewusstes Design- oder Security-Feature. Router…
IPv6 Dual-Stack im Backbone gilt in vielen Provider-Netzen als „fertig“, sobald die ersten Core-Links IPv6 sprechen und BGP/IGP für v6 „up“ ist. Operativ zeigt sich jedoch schnell: Dual-Stack ist nicht einfach „IPv4 plus IPv6“, sondern zwei parallele Netzrealitäten mit unterschiedlichen Failure Modes, anderen Abhängigkeiten und oft auch anderer Peering- und Security-Policy. Genau deshalb sind IPv6…
MPLS L3VPN Troubleshooting gehört zu den Standardaufgaben im Provider-NOC – und gleichzeitig zu den frustrierendsten, wenn Kunden melden: „Customer Isolated“. Gemeint ist fast immer dasselbe Symptom: Ein Standort oder eine ganze Kundendomäne ist plötzlich von anderen Sites in derselben VPN nicht mehr erreichbar. Oft wirkt es selektiv (nur eine Richtung, nur bestimmte Prefixes, nur IPv6),…
MPLS Ping & Traceroute sind im Provider-Betrieb die zuverlässigsten Werkzeuge, um einen MPLS-Pfad zu validieren, ohne in klassisches „Rätselraten“ mit IP-Traceroute, ECMP-Zufallspfaden oder versteckten MPLS-Hops zu verfallen. Gerade in Backbones mit L3VPNs, Traffic Engineering, Segment Routing oder komplexen ECMP/LAG-Topologien ist ein normales IP-Traceroute oft irreführend: Zwischenrouter antworten nicht (CoPP/Rate-Limits), MPLS TTL wird nicht propagiert, und…
RPKI für ISPs ist heute eines der wirksamsten Mittel, um Route Hijacks und Route Leaks im globalen Routing-Ökosystem zu reduzieren. Gleichzeitig ist RPKI kein „Schalter“, den man umlegt, sondern eine Kombination aus Kryptoinfrastruktur, Datenversorgung (ROAs, VRPs), Validierungslogik und operativen Entscheidungen in BGP-Policies. Wer RPKI implementiert, muss daher zwei Ziele gleichzeitig erreichen: Erstens die Routing-Sicherheit messbar…
LDP vs. SR-MPLS ist für viele Provider keine rein technische Diskussion, sondern eine operative Grundsatzentscheidung: Wie wollen Sie Transportpfade im Backbone aufbauen, überwachen und verändern – und wie viel Komplexität akzeptieren Sie dafür? LDP (Label Distribution Protocol) ist seit Jahren der „Default“ in klassischen MPLS-Backbones: stabil, gut verstanden, breit implementiert. SR-MPLS (Segment Routing mit MPLS-Datenebene)…
Prefix-Filtering-Best-Practices sind eine der effektivsten und zugleich unterschätzten Maßnahmen, um Hijacks und Leaks im Internet-Routing zu verhindern. Während BGP technisch „nur“ Routen verteilt, entscheidet Ihre Policy darüber, welche Routen Sie akzeptieren, welche Sie weitergeben und welche Sie konsequent blockieren. Genau hier passieren die gefährlichsten Fehler: Ein Kunde kündigt versehentlich Transit-Routen an (Route Leak), ein falsches…
Got questions? Ideas? Fill out the form below & our specialist will contact you.