DDoS-Scrubbing-Center: Architektur, Routing und Betrieb

Ein DDoS-Scrubbing-Center ist in vielen Provider- und Enterprise-Netzen die letzte Verteidigungslinie, wenn volumetrische Angriffe (UDP Amplification, GRE-Floods, TCP-ACK-Floods) oder state-orientierte Angriffe (SYN Floods gegen Firewalls/LBs) die Edge-Kapazität oder die Service-Perimeter überfordern. Während lokale Filter (ACLs, Policer, uRPF) am Rand schnell greifen können, stoßen sie bei Leitungssättigung oder hoher Source-Diversität an Grenzen: Der Traffic ist dann…

Anycast Scrubbing: Policy Routing und Collateral-Damage-Risiko

Anycast Scrubbing gilt als eine der elegantesten Methoden, DDoS-Traffic zu absorbieren, weil es „von selbst“ skaliert: Derselbe Service-Prefix wird von vielen Scrubbing-PoPs via BGP annonciert, und der Internet-Traffic landet automatisch am topologisch „nächsten“ Standort. Im Idealfall entsteht dadurch keine harte Umschaltkante wie beim klassischen On-Demand-Diversion – und volumetrische Angriffe verteilen sich auf viele Standorte, statt…

Sicheres Rate Limiting im ISP: Legitimen Traffic nicht „abschießen“

Sicheres Rate Limiting im ISP ist eine der wichtigsten, aber auch riskantesten Disziplinen im Netzbetrieb: Richtig eingesetzt schützt Rate Limiting Ihre Infrastruktur vor DDoS, Fehlkonfigurationen, Broadcast-Stürmen, „Runaway Clients“ oder massiven Reconnect-Wellen (PPPoE/DHCP). Falsch eingesetzt schießt es legitimen Traffic ab, erzeugt schwer erklärbare Teilstörungen („einige Kunden sind betroffen“), verschlechtert Latenz und Jitter oder verhindert sogar die…

QUIC/HTTP3 im ISP: Auswirkungen auf DDoS-Mitigation und Visibility

QUIC/HTTP3 im ISP verändert zwei Dinge gleichzeitig: die Art, wie großer Web-Traffic transportiert wird, und die Art, wie Netzbetreiber DDoS-Mitigation sowie Visibility (Beobachtbarkeit) praktisch umsetzen können. QUIC ist ein Transportprotokoll über UDP, das viele klassische TCP-Mechanismen (Handshake, Retransmissions, Congestion Control) in einen verschlüsselten, applikationsnahen Stack verlagert. HTTP/3 nutzt QUIC als Transport und bringt damit Web-…

DNS-Outage im ISP: Cache, TTL und trügerische Propagation

Ein DNS-Outage im ISP ist selten ein „hartes“ Alles-oder-nichts-Ereignis. Viel häufiger ist er trügerisch: Einige Kunden sind betroffen, andere nicht; manche Websites gehen, manche nicht; in einem PoP wirkt alles stabil, im nächsten häufen sich Timeouts. Der Grund liegt fast immer in Cache, TTL und Propagation – drei Faktoren, die DNS im Normalbetrieb robust machen,…

CDN Cache Miss Storm: Impact aufs Backbone und Mitigation

Ein CDN Cache Miss Storm ist für ISPs eines der gefährlichsten Traffic-Ereignisse, weil er scheinbar „aus dem Nichts“ entsteht und das Backbone in kurzer Zeit an seine Grenzen bringen kann. Im Normalbetrieb entlasten CDNs das Netz, indem Inhalte nahe am Nutzer gecacht und lokal ausgeliefert werden. Wenn jedoch die Cache-Hit-Rate abrupt einbricht – etwa durch…

WAF False Positive am Edge: Runbook zur Traffic-Wiederherstellung

Ein WAF False Positive am Edge ist einer der frustrierendsten Incidents im Betrieb: Ihre Infrastruktur ist „gesund“, Links sind nicht gesättigt, CPU ist im Rahmen – und trotzdem melden Kunden Ausfälle, Logins schlagen fehl, APIs liefern 403/406, oder Checkout-Prozesse brechen ab. Der Grund ist nicht ein Angriff, sondern eine Schutzmaßnahme, die legitimen Traffic fälschlich als…

VoIP-/Gaming-Quality-Issues: MOS/Jitter/Loss für SLA auf OSI mappen

VoIP- und Gaming-Quality-Issues sind im ISP-Betrieb ein Sonderfall: Kunden spüren Störungen sofort, auch wenn klassische „Uptime“-Metriken grün sind. Ein Download läuft noch, ein Speedtest sieht gut aus – aber der Anruf klingt blechern, Wörter „brechen ab“, und im Spiel gibt es Rubberbanding oder „Shots registern nicht“. Für SLA und Trouble-Tickets entsteht dadurch ein Übersetzungsproblem: Kunden…

Anycast DNS im ISP: Design, Monitoring und Failure Modes

Anycast DNS im ISP ist eine der wirkungsvollsten Architekturen, um Resolver- und Authoritative-DNS-Dienste gleichzeitig schneller, robuster und besser skalierbar zu machen. Das Grundprinzip ist einfach: Mehrere DNS-Server in unterschiedlichen PoPs (Points of Presence) announcen dieselbe IP-Adresse per Routing (typischerweise BGP), und der Netzwerkpfad entscheidet, welcher Standort die Anfrage beantwortet. Genau diese Einfachheit ist jedoch auch…

SR-TE: Wann fürs Traffic Engineering und SLA einsetzen

SR-TE (Segment Routing Traffic Engineering) ist für viele Provider der nächste logische Schritt, wenn klassische TE-Mechanismen (IGP-Metriken, LocalPref, AS-PATH Prepending, ECMP) nicht mehr ausreichen, um Traffic planbar zu steuern und SLA-Ziele nachweisbar einzuhalten. Der operative Reiz von SR-TE liegt darin, dass Sie Pfade als „Intent“ ausdrücken können: Traffic soll nicht einfach „irgendwie den kürzesten Weg“…