Ein BGP Hijack und ein Route Leak gehören zu den bekanntesten Ursachen für großflächige Störungen im Internet-Routing – und sie werden im Alltag dennoch häufig verwechselt. Beide Ereignisse basieren darauf, dass Border Gateway Protocol (BGP) Routeninformationen zwischen autonomen Systemen (AS) austauscht und Entscheidungen nach Policy und Pfad-Attributen trifft. Der entscheidende Unterschied liegt in der Intention…
Eine Post-DDoS-RCA (Root Cause Analysis nach einem DDoS-Incident) entscheidet darüber, ob die nächste Attacke wieder zu hektischem „Feuerlöschen“ führt oder ob Ihre Organisation messbar resilienter wird. Viele Postmortems scheitern daran, dass sie entweder zu technisch (und damit handlungsarm) oder zu allgemein (und damit folgenlos) sind. Wirklich wirksame Corrective Actions sind konkret, priorisiert, testbar und besitzen…
RPKI (Resource Public Key Infrastructure) ist für viele Netzbetreiber der pragmatischste Hebel, um BGP-Routing sicherer zu machen, ohne das Internet „neu zu erfinden“. Während klassische BGP-Mechanismen historisch auf Vertrauen und bilateralen Policies basieren, liefert RPKI eine kryptografisch abgesicherte Antwort auf eine zentrale Frage: Darf dieses autonome System (ASN) dieses IP-Präfix überhaupt originieren? Genau hier setzt…
Edge-Filtering-Best-Practices sind ein zentraler Baustein, um Netzwerke und Internet-Exposed Services stabil, sicher und kosteneffizient zu betreiben. „Edge“ meint dabei bewusst die äußere Kante Ihres Netzes: Internet-Uplinks, Provider-Übergänge, DDoS-Scrubbing-Anbindungen, CDN-Edges oder Security Gateways, die unmittelbar mit untrusted Traffic konfrontiert sind. Wer am Edge sauber filtert, verhindert, dass offensichtlicher Müll (Bogons, Spoofing, fehlerhafte Routen, scanning-lastiger Noise) überhaupt…
Routing Security fürs Enterprise ist längst kein reines Provider-Thema mehr. Moderne Unternehmensnetze hängen an mehreren Upstreams, nutzen MPLS/SD-WAN-Underlays, Cloud-Interconnects, Partneranbindungen und teils sogar eigenes BGP am Edge. In diesem Umfeld reicht „läuft schon“ nicht aus: Ein einzelnes falsch akzeptiertes Präfix, ein zu großzügiges Routing-Policy-Template oder ein fehlender Max-Prefix-Guard kann zu Blackholing, Umwegen, Datenabfluss über unerwünschte…
Eine Hardening-Checkliste L3/L4 beschreibt die minimalen, aber wirkungsvollen Schutzmaßnahmen auf Netzwerk- und Transportebene, die jede Public Infrastructure zuverlässig umsetzen sollte. Gemeint sind dabei Systeme und Übergabepunkte, die direkt oder indirekt vom Internet erreichbar sind: Edge-Router, Transit-Links, Internet-Gateways, DDoS-Mitigation, Load-Balancer, Firewalls, NAT, VPN-Edges und öffentliche Services, die auf L4 (TCP/UDP) exponiert werden. Gerade weil L3/L4-Controls oft…
ICMP ist eines der am häufigsten missverstandenen Protokolle in Unternehmensnetzen. Viele Security-Teams neigen dazu, ICMP pauschal zu blockieren, weil „Ping“ als Angriffsvektor wahrgenommen wird. Gleichzeitig verlassen sich Betrieb, Monitoring, Troubleshooting und sogar Teile der Pfadsteuerung (Path MTU Discovery) auf bestimmte ICMP-Typen. Genau hier setzt ICMP Hardening an: nicht „alles erlauben“ und nicht „alles verbieten“, sondern…
Ein SYN Flood ist eine der bekanntesten Formen von Denial-of-Service gegen TCP-basierte Dienste – und gleichzeitig eine der häufigsten Ursachen für Fehlalarme im NOC. Denn ein starker Nutzeransturm, ein Release-Rollout, ein fehlerhafter Health-Check oder ein Retry-Sturm nach einem kurzen Outage kann auf den ersten Blick genauso aussehen: viele neue TCP-Verbindungen, steigende SYN-Raten, volle Load-Balancer-Queues und…
Eine UDP Amplification Attack ist eine der effektivsten DDoS-Varianten, weil sie zwei Dinge kombiniert: Source-IP-Spoofing und Dienste, die auf kleine Anfragen mit sehr großen Antworten reagieren. Angreifer senden dabei viele UDP-Requests mit gefälschter Absenderadresse (IP des Opfers) an sogenannte „Reflektoren“ im Internet – beispielsweise offene DNS-Resolver oder falsch konfigurierte NTP-Server. Die Reflektoren schicken ihre (deutlich…
Ein DDoS Layer 3/4 Mitigation-Playbook beschreibt nicht nur einzelne technische Maßnahmen, sondern einen durchgängigen Ablauf: von der schnellen Verifikation am Edge über gezielte Filter und Rate Limits bis hin zur Eskalation in ein Scrubbing-Center oder eine Cloud-Mitigation. Layer-3/4-DDoS-Angriffe zielen auf Netzwerk- und Transportebene (IP, ICMP, UDP, TCP) und versuchen, Bandbreite, Paketverarbeitung (pps), State-Tabellen, NAT-Kapazitäten oder…
Got questions? Ideas? Fill out the form below & our specialist will contact you.