NetFlow/IPFIX zur Attack-Detection ist für viele Security- und NOC-Teams der schnellste Weg, aus „Traffic ist komisch“ belastbare Indikatoren zu machen – ohne direkt in PCAPs zu versinken. Flow-Daten liefern keine Payload, aber sie liefern Struktur: Wer spricht mit wem, wie lange, wie viel, über welche Ports und in welche Richtung. Genau diese Metadaten reichen in…
Den Attack Vector aus Flow-Daten ableiten zu können, ist in vielen Enterprise-Umgebungen der schnellste Weg von einem vagen Alarm („ungewöhnlicher Traffic“) hin zu einer belastbaren Hypothese („SYN-Flood“, „Portscan“, „Exfiltration“, „C2-Beaconing“). Flow-Daten wie NetFlow oder IPFIX enthalten keine Payload und keine vollständigen Paketdetails, liefern aber genau die Metadaten, die Angriffe häufig verraten: Kommunikationsbeziehungen, Richtung, Volumen, Häufigkeit,…
QUIC/HTTP3 verändert die Spielregeln an der Kante des Internets: Für Nutzer bedeutet es schnellere Verbindungen, weniger Latenz bei Mobilität und weniger „Handshake-Overhead“. Für Security- und Netzwerk-Teams hat QUIC/HTTP3 jedoch eine zweite, weniger sichtbare Seite: Es verschiebt die DDoS-Angriffsfläche, verändert typische Layer-3/4-Indikatoren und reduziert klassische L4-Visibility, weil Transport und Kryptografie enger verzahnt sind. Viele etablierte Abwehr-…
Ein TCP-Reset-Angriff (oft auch „RST Injection“ genannt) zielt darauf ab, eine bestehende TCP-Verbindung abrupt zu beenden, indem ein Angreifer gefälschte TCP-RST-Pakete in den Datenstrom einschleust. In der Praxis äußert sich das als plötzlich abreißende Downloads, „Connection reset by peer“-Fehler, sporadische Abbrüche bei API-Calls oder unerklärliche Session-Resets bei stabiler Netzqualität. Der entscheidende Punkt für Incident Response…
IP Spoofing beschreibt das Fälschen der Quell-IP-Adresse in IP-Paketen. Für Angreifer ist das attraktiv, weil sich damit Identitäten verschleiern, Reflexions- und Amplification-DDoS-Attacken auslösen oder interne Vertrauensannahmen umgehen lassen. Gleichzeitig ist IP Spoofing kein exotisches „Hacker-Thema“, sondern eine alltägliche Ursache für schwer nachvollziehbare Incidents: Logs zeigen scheinbar „unmögliche“ Quellen, Firewalls sehen Antworten aus falschen Netzen, und…
Ein DDoS War Room ist die zentrale Kommunikations- und Entscheidungszelle, wenn eine Distributed-Denial-of-Service-Attacke (DDoS) die Verfügbarkeit von Services bedroht. In vielen Organisationen scheitert die Abwehr nicht an fehlenden technischen Optionen, sondern an unklaren Zuständigkeiten, widersprüchlichen Updates und fehlenden Pflichtdaten: Wer entscheidet über Scrubbing? Wer spricht mit dem Provider? Welche Metriken gelten als „besser“? Welche Änderungen…
Ein BGP Hijack und ein Route Leak gehören zu den bekanntesten Ursachen für großflächige Störungen im Internet-Routing – und sie werden im Alltag dennoch häufig verwechselt. Beide Ereignisse basieren darauf, dass Border Gateway Protocol (BGP) Routeninformationen zwischen autonomen Systemen (AS) austauscht und Entscheidungen nach Policy und Pfad-Attributen trifft. Der entscheidende Unterschied liegt in der Intention…
Eine Post-DDoS-RCA (Root Cause Analysis nach einem DDoS-Incident) entscheidet darüber, ob die nächste Attacke wieder zu hektischem „Feuerlöschen“ führt oder ob Ihre Organisation messbar resilienter wird. Viele Postmortems scheitern daran, dass sie entweder zu technisch (und damit handlungsarm) oder zu allgemein (und damit folgenlos) sind. Wirklich wirksame Corrective Actions sind konkret, priorisiert, testbar und besitzen…
RPKI (Resource Public Key Infrastructure) ist für viele Netzbetreiber der pragmatischste Hebel, um BGP-Routing sicherer zu machen, ohne das Internet „neu zu erfinden“. Während klassische BGP-Mechanismen historisch auf Vertrauen und bilateralen Policies basieren, liefert RPKI eine kryptografisch abgesicherte Antwort auf eine zentrale Frage: Darf dieses autonome System (ASN) dieses IP-Präfix überhaupt originieren? Genau hier setzt…
Edge-Filtering-Best-Practices sind ein zentraler Baustein, um Netzwerke und Internet-Exposed Services stabil, sicher und kosteneffizient zu betreiben. „Edge“ meint dabei bewusst die äußere Kante Ihres Netzes: Internet-Uplinks, Provider-Übergänge, DDoS-Scrubbing-Anbindungen, CDN-Edges oder Security Gateways, die unmittelbar mit untrusted Traffic konfrontiert sind. Wer am Edge sauber filtert, verhindert, dass offensichtlicher Müll (Bogons, Spoofing, fehlerhafte Routen, scanning-lastiger Noise) überhaupt…
Got questions? Ideas? Fill out the form below & our specialist will contact you.