Port-Scan-Detection: Low-Noise-Methoden

Das Thema Port-Scan-Detection: Low-Noise-Methoden ist für moderne Sicherheits- und Betriebsteams zentral, weil klassische Scan-Erkennung in der Praxis oft an zu vielen Fehlalarmen scheitert. In nahezu jedem produktiven Netzwerk gibt es kontinuierlich Verbindungsversuche durch Monitoring, Service Discovery, Load-Balancer-Health-Checks, Vulnerability-Scanner, CI/CD-Pipelines und legitime Betriebsprozesse. Wird jede ungewöhnliche Port-Aktivität pauschal als Angriff gewertet, entsteht Alarmmüdigkeit: Das SOC verliert…

Rate-Limiting-Strategie: Collateral Damage vermeiden

Eine wirksame Rate-Limiting-Strategie: Collateral Damage vermeiden ist für moderne IT- und Security-Teams nicht optional, sondern ein zentrales Stabilitätsprinzip. In der Praxis wird Rate Limiting häufig erst dann sichtbar, wenn bereits ein Incident läuft: API-Antwortzeiten steigen, Login-Flows brechen ab, externe Integrationen liefern Timeouts, und plötzlich stehen nicht nur Angreifer, sondern auch legitime Nutzer auf der „falschen“…

DDoS-Playbook: Eskalation zu Scrubbing/Upstream

Ein belastbares DDoS-Playbook: Eskalation zu Scrubbing/Upstream ist für jede Organisation mit internetexponierten Services ein geschäftskritischer Bestandteil der Sicherheits- und Betriebsstrategie. In der Realität scheitert die DDoS-Abwehr selten an fehlenden Tools, sondern an unklaren Eskalationskriterien, uneinheitlicher Kommunikation und zu später Aktivierung externer Schutzstufen. Genau hier setzt ein sauberes Playbook an: Es definiert, wann lokale Gegenmaßnahmen ausreichen,…

Flow Logs für DDoS: Die nützlichsten Felder

Das Thema Flow Logs für DDoS: Die nützlichsten Felder ist in vielen Unternehmen der Unterschied zwischen schneller, zielgenauer Abwehr und kostspieligem Blindflug. In DDoS-Lagen entsteht Druck in Minuten: Bandbreite steigt sprunghaft, Sessions kippen, Timeouts häufen sich, und Teams müssen entscheiden, ob lokale Gegenmaßnahmen genügen oder ob Scrubbing und Upstream-Eskalation nötig sind. Genau dafür sind Flow…

Attack Vector aus NetFlow/IPFIX ableiten

Das Thema Attack Vector aus NetFlow/IPFIX ableiten gehört zu den wichtigsten Fähigkeiten in moderner Netzwerk- und Sicherheitsanalyse. In der Praxis entscheidet genau diese Kompetenz darüber, ob ein Team bei einem Incident nur Symptome bekämpft oder die eigentliche Angriffslogik erkennt. NetFlow und IPFIX liefern dafür eine belastbare Grundlage: Sie zeigen nicht den kompletten Paketinhalt, aber sie…

Filtering am Edge: BCP38 und Best Practices

Das Thema Filtering am Edge: BCP38 und Best Practices ist für jede Organisation mit Internetanbindung ein zentraler Baustein moderner Netzwerksicherheit. In der Praxis werden viele Sicherheitsprogramme stark auf Endpoint- und Applikationsebene ausgerichtet, während grundlegende Schutzmechanismen am Netzwerkrand zu spät implementiert oder nur teilweise betrieben werden. Genau hier setzt Edge-Filtering an: Es reduziert die Angriffsfläche, verhindert…

Layer-4-Attacks bei QUIC: Was sich ändert

Das Thema Layer-4-Attacks bei QUIC: Was sich ändert ist für moderne Netzwerke und Security-Teams besonders relevant, weil QUIC inzwischen in vielen produktiven Umgebungen einen großen Teil des Web-Traffics trägt. Wer Angriffe auf Transportebene bislang vor allem mit TCP-Denkmustern bewertet hat, muss bei QUIC umdenken: Der Transport läuft über UDP, Verbindungsaufbau und Sicherheit sind enger verzahnt,…

IP-Spoofing und uRPF: Sicheres Deployment in Produktion

Ein belastbares Konzept für IP-Spoofing und uRPF: Sicheres Deployment in Produktion ist in modernen Netzwerken unverzichtbar, weil gefälschte Quelladressen sowohl Sicherheitsvorfälle als auch schwer diagnostizierbare Betriebsprobleme verursachen können. IP-Spoofing wird nicht nur für klassische DDoS-Verstärkung missbraucht, sondern auch für Umgehungsversuche bei Zugriffskontrollen, für das Verschleiern von Angriffsquellen und für laterale Bewegungen in komplexen Umgebungen. Gleichzeitig…

TCP-Reset-Angriff: Evidence und Mitigation

Das Thema TCP-Reset-Angriff: Evidence und Mitigation ist in vielen Unternehmen aktueller, als es auf den ersten Blick wirkt. Während DDoS, Ransomware oder Identitätsdiebstahl oft im Fokus stehen, können gezielte TCP-Reset-Angriffe kritische Verbindungen unauffällig unterbrechen und so Betriebsprozesse, Monitoring, Replikation, API-Kommunikation oder Remote-Zugriffe empfindlich stören. Genau das macht den Angriff so gefährlich: Er benötigt nicht immer…

Routing Abuse: Route Injection und frühe Detection

Ein belastbares Verständnis von Routing Abuse: Route Injection und frühe Detection ist für moderne Netzwerke geschäftskritisch, weil Manipulationen in der Routing-Ebene nicht nur Verfügbarkeit, sondern auch Vertraulichkeit und Integrität direkt beeinflussen können. Während viele Sicherheitsprogramme stark auf Endpunkte, Identitäten und Anwendungen fokussieren, bleibt die Routing-Kontrolle in der Praxis häufig unterinstrumentiert. Genau dort liegt ein erhebliches…