Zum Inhalt

Übersicht & Informationen

Layer 4 DDoS Protection

AS203446 bietet eine dauerhaft aktive Layer 4 DDoS Protection an. Diese schützt, als Beispiel, vor folgenden Angriffen:

  • IPv4 and IPv6
  • UDP Floods
  • TCP Floods
  • GRE Floods
  • Other protocol floods
  • ICMP Floods
  • Resource exhaustion attacks
  • Amplification Floods
  • Zero Day Attack Prevention (Identifiziert Angriffe, die von den typischen Gegenmaßnahmen nicht gefiltert werden können, oder wenn das System feststellt, dass diese Art der Abschwächung im Hinblick auf die Nutzung von Hardware- und Computerressourcen kostengünstiger ist)

Portranges

Die DDoS Protection hat für verschiedene Anwendungen verschiedene Portranges festgelegt, diese müssen mit der entsprechenden Anwendung genutzt werden.

  • 2300 - 2400: Arma 2/3/Reforger & DayZ
  • 7000 - 8999: Sonstige Spiele (Spiele die hier nicht aufgelistete sind)
  • 9000 - 9999: Teamspeak 3
  • 12800 - 13100: Hurtworld
  • 19132: Minecraft Pocket Edition
  • 22000 - 22020: Rage-MP
  • 27000 - 28000: Alle Source Spiele (CS:GO, Garry's Mod, etc.)
  • 30000 - 32000: FiveM
  • 1194: OpenVPN
  • 51820: Wireguard
  • 34100 - 34200: Factorio

Bekannte Einschränkungen / Erwartetes Verhalten

Random Ports

Für Ports die oben nicht aufgelistet sind, wird standardmäßig der TCP-Reset durchgeführt.

GRE Tunnel

GRE Tunnel werden über IPv4 blockiert.

TCP-Authentifizierung

Clients, die versuchen, eine TCP-Sitzung aufzubauen, nachdem ein TCP-Angriff erkannt wurde, müssen ihre erste Verbindung erneut übertragen. Dies wird als "TCP-Authentifizierung" bezeichnet. Clients, die vor Beginn des Angriffs verbunden waren, sind davon nicht betroffen.

UDP-Authentifizierung

UDP-Verbindungen werden auch validiert und authentifiziert, wenn ein UDP-Angriff im Gange ist. Dies hat jedoch in 99 % der Fälle keine Auswirkungen auf die Clients, die jedoch gezwungen sein können, ihre ersten UDP-Verbindungen erneut zu übertragen. Auch hier sind nur die Clients betroffen, die eine Verbindung herstellen, nachdem ein Angriff begonnen hat.

Ratelimits

  • TCP-Traffic (Gilt nur, wenn ein TCP-Angriff im Gange ist)
  • UDP-Traffic (Gilt nur, wenn ein UDP-Angriff im Gange ist)

Layer 7 DDoS Protection

Aktuell bietet AS203446 DDoS Protection keinen Layer7 Schutz an.

Darunter fällt Folgendes:

  • Layer 7 http(s) Angriffe/Floods
  • Spiel-/Protokollbasierter echter Anwendungsverkehr (z. B. Minecraft-Bots, PCAP replay sind in diesem Beispiel nicht enthalten. Das System bietet Schutz vor PCAP replay)