DDoS-Playbook: Eskalation zu Scrubbing/Upstream

Ein belastbares DDoS-Playbook: Eskalation zu Scrubbing/Upstream ist für jede Organisation mit internetexponierten Services ein geschäftskritischer Bestandteil der Sicherheits- und Betriebsstrategie. In der Realität scheitert die DDoS-Abwehr selten an fehlenden Tools, sondern an unklaren Eskalationskriterien, uneinheitlicher Kommunikation und zu später Aktivierung externer Schutzstufen. Genau hier setzt ein sauberes Playbook an: Es definiert, wann lokale Gegenmaßnahmen ausreichen,…

Flow Logs für DDoS: Die nützlichsten Felder

Das Thema Flow Logs für DDoS: Die nützlichsten Felder ist in vielen Unternehmen der Unterschied zwischen schneller, zielgenauer Abwehr und kostspieligem Blindflug. In DDoS-Lagen entsteht Druck in Minuten: Bandbreite steigt sprunghaft, Sessions kippen, Timeouts häufen sich, und Teams müssen entscheiden, ob lokale Gegenmaßnahmen genügen oder ob Scrubbing und Upstream-Eskalation nötig sind. Genau dafür sind Flow…

Attack Vector aus NetFlow/IPFIX ableiten

Das Thema Attack Vector aus NetFlow/IPFIX ableiten gehört zu den wichtigsten Fähigkeiten in moderner Netzwerk- und Sicherheitsanalyse. In der Praxis entscheidet genau diese Kompetenz darüber, ob ein Team bei einem Incident nur Symptome bekämpft oder die eigentliche Angriffslogik erkennt. NetFlow und IPFIX liefern dafür eine belastbare Grundlage: Sie zeigen nicht den kompletten Paketinhalt, aber sie…

Filtering am Edge: BCP38 und Best Practices

Das Thema Filtering am Edge: BCP38 und Best Practices ist für jede Organisation mit Internetanbindung ein zentraler Baustein moderner Netzwerksicherheit. In der Praxis werden viele Sicherheitsprogramme stark auf Endpoint- und Applikationsebene ausgerichtet, während grundlegende Schutzmechanismen am Netzwerkrand zu spät implementiert oder nur teilweise betrieben werden. Genau hier setzt Edge-Filtering an: Es reduziert die Angriffsfläche, verhindert…

Layer-4-Attacks bei QUIC: Was sich ändert

Das Thema Layer-4-Attacks bei QUIC: Was sich ändert ist für moderne Netzwerke und Security-Teams besonders relevant, weil QUIC inzwischen in vielen produktiven Umgebungen einen großen Teil des Web-Traffics trägt. Wer Angriffe auf Transportebene bislang vor allem mit TCP-Denkmustern bewertet hat, muss bei QUIC umdenken: Der Transport läuft über UDP, Verbindungsaufbau und Sicherheit sind enger verzahnt,…

IP-Spoofing und uRPF: Sicheres Deployment in Produktion

Ein belastbares Konzept für IP-Spoofing und uRPF: Sicheres Deployment in Produktion ist in modernen Netzwerken unverzichtbar, weil gefälschte Quelladressen sowohl Sicherheitsvorfälle als auch schwer diagnostizierbare Betriebsprobleme verursachen können. IP-Spoofing wird nicht nur für klassische DDoS-Verstärkung missbraucht, sondern auch für Umgehungsversuche bei Zugriffskontrollen, für das Verschleiern von Angriffsquellen und für laterale Bewegungen in komplexen Umgebungen. Gleichzeitig…

TCP-Reset-Angriff: Evidence und Mitigation

Das Thema TCP-Reset-Angriff: Evidence und Mitigation ist in vielen Unternehmen aktueller, als es auf den ersten Blick wirkt. Während DDoS, Ransomware oder Identitätsdiebstahl oft im Fokus stehen, können gezielte TCP-Reset-Angriffe kritische Verbindungen unauffällig unterbrechen und so Betriebsprozesse, Monitoring, Replikation, API-Kommunikation oder Remote-Zugriffe empfindlich stören. Genau das macht den Angriff so gefährlich: Er benötigt nicht immer…

Routing Abuse: Route Injection und frühe Detection

Ein belastbares Verständnis von Routing Abuse: Route Injection und frühe Detection ist für moderne Netzwerke geschäftskritisch, weil Manipulationen in der Routing-Ebene nicht nur Verfügbarkeit, sondern auch Vertraulichkeit und Integrität direkt beeinflussen können. Während viele Sicherheitsprogramme stark auf Endpunkte, Identitäten und Anwendungen fokussieren, bleibt die Routing-Kontrolle in der Praxis häufig unterinstrumentiert. Genau dort liegt ein erhebliches…

Alert-Thresholds für L4-Abuse definieren

Wer Alert-Thresholds für L4-Abuse definieren will, steht fast immer vor demselben Problem: Entweder sind die Schwellenwerte zu niedrig und das SOC ertrinkt in Rauschen, oder sie sind zu hoch und echte Angriffe bleiben zu lange unentdeckt. Genau deshalb gehört die Arbeit an L4-Schwellenwerten zu den wichtigsten Aufgaben zwischen Netzbetrieb, Security Monitoring und Incident Response. Auf…

BGP Hijack/Leak: Frühe Signale und Mitigation

Ein belastbarer Umgang mit BGP Hijack/Leak: Frühe Signale und Mitigation ist für Unternehmen, Provider und Plattformbetreiber heute unverzichtbar, weil Routing-Vorfälle längst nicht mehr nur Spezialthemen für Netzkerne sind, sondern direkte Auswirkungen auf Geschäftsprozesse, Sicherheit und Reputation haben. Wenn BGP-Ankündigungen fehlerhaft oder missbräuchlich propagiert werden, können Datenströme umgeleitet, verlangsamt, unterbrochen oder in unerwünschte Regionen verschoben werden.…