DDoS-mitigatie

Mitigatietechnieken voor de grootste internetaanvallen

Voor succesvolle distributed-denial-of-service-aanvallen gebruiken hackers meerdere vectoren. Het populairst is het verdelen van aanvallende apparaten. Een aanvaller kan een groot aantal computers (of andere apparaten, zoals camera's, DVR’s, IoT, enz.) van over de hele wereld inzetten. Dit wordt meestal een botnet genoemd. Dit soort aanvallen kan een totale infrastructuur overbelasten alvorens zelfs de doelserver te raken. Daardoor kan de situatie op één enkel bestemmingspunt of voor één enkele gebruiker volledig uit de hand lopen. Om DDoS-aanvallen te bestrijden gebruikt OVHcloud een combinatie van wereldwijde aanwezigheid, overprovisioning van netwerkcapaciteit, gedistribueerde detectielogica en krachtige filterapparaten. Op basis van ervaring en het gebruik van de nieuwste innovaties bieden wij een systeem waardoor u zich op belangrijke zaken kunt richten en u zich geen zorgen hoeft te maken over netwerkaanvallen.

Meer weten
Anti-DDOS_Mitigation

Voordat we mitigeren

Icons/concept/Magnifying Glass/Magnifying Glass Check Created with Sketch.
Analyseren en detecteren

Netwerkaanvallen kunnen worden ontdekt door het realtime analyseren van de gegevens die routers (netflow, sflow of andere protocollen) verzenden. Als er verdacht verkeer wordt ontdekt, dan leiden interne routeringsmechanismen het verkeer om via een aantal gedistribueerde VAC-nodes (van het Engelse “vacuuming”), zodat het beter geanalyseerd en preciezer gefilterd wordt.

Icons/concept/Lines/Line Communicating Created with Sketch.
Nader inspecteren

Als er verkeer wordt gerouteerd naar de VAC-nodes in onze infrastructuur, dan wordt een grondige analyse uitgevoerd. Dit gebeurt gelijktijdig in al onze datacenters, zodat de verwerkingscapaciteit van alle regio's (meer dan 17 Tbps in 2021) wordt gecombineerd. Om de beste kwaliteit te garanderen, hanteren we meerdere netwerkverbindingen per regio en houden we meer netwerkcapaciteit aan dan nodig is. Hierdoor kunnen we aanvallen afweren zonder de gewone activiteiten te beïnvloeden.

Icons/concept/Lines/Lines Symmetrical Created with Sketch.
Daadwerkelijke mitigatie

In essentie bestaat mitigatie uit het in meerdere stappen filteren van verkeer, zodat slechts legitiem verkeer een server bereikt. Dit is het ingewikkeldste onderdeel en dit verricht het moeilijkste werk. We hebben dit onderdeel ontworpen op basis van bekende ACL-technologie met innovaties op de x86-architectuur en code-implementatie op ultrasnelle FPGA-chips.

Hoe DDoS-mitigatie wordt uitgevoerd bij OVHcloud

Anti-DDOS_migration

Als een verzoek of een simpel netwerkpakket vanaf het internet komt, is het eerste punt waar we het kunnen zien binnen het Point-of-Presence (PoP) - de plaats waar het OVHcloud-netwerk verbinding maakt met andere providers. Voor de beste bescherming installeren we Hardware Client Amplitude Policers (HCAP) op deze plekken - een onderdeel van een wereldwijd Anti-DDoS-systeem. Dan worden de pakketten gerouteerd binnen ons backbone-netwerk en aan onze datacenters geleverd.

De datacenters van OVHcloud zijn uitgerust met een speciale en zeer krachtige hardware-stack, inclusief een VAC-DDoS-mitigatienode. Deze werkt voor lokale bescherming, maar ook als onderdeel van een wereldwijd systeem: de node kan tijdens grote aanvallen werk overdragen naar andere plekken. Pakketten kunnen direct naar de racks en servers van een datacenter gaan of, in het geval van verdacht verkeer, via grondige analyse en mitigatie door VAC.

Tot slot, maar daarom niet minder belangrijk, is er voor producten met extra bescherming op applicatieniveau (zoals de BareMetal Game-reeks met Game DDoS-bescherming) een extra filtersysteem dat dichtbij de service zelf actief is. Het is exact afgestemd op de applicatie en voert een fijnmazigere mitigatie van aanvallend verkeer uit.

HCAP

Een HCAP (Hardware Client Amplitude Policer) is de allereerste component in de verdedigingslinie die de services van elke klant beschermt. Deze kan indien nodig de VAC-nodes van het datacenter offloaden, zodat tijdens een aanval de prestaties en de lastverdeling optimaal blijven. Waar nodig kan deze ook als een snelheidsbeperkend onderdeel fungeren.

Anti-DDOS_HCAP
Anti-DDOS_network_firewall

De Edge Network Firewall

De eerste component van de VAC is de Edge Network Firewall: dit is een oplossing die blootstelling aan aanvallen op het niveau van de netwerklaag vanuit het openbare netwerk beperkt. Deze wordt automatisch actief zodra een DDoS-aanval begint. Men kan maximaal 20 regels aan de klantzijde configureren om packets te filtreren op een manier die preciezer afgestemd is op de activiteit van uw server. Elke regel is een specifieke autorisatie die u kunt gebruiken om de bescherming van uw dienst te optimaliseren (en netwerkbandbreedte binnen een datacenter zeker te stellen). Deze firewall wordt automatisch actief zodra een DDoS-aanval begint en blijft geactiveerd gedurende de hele duur van een aanval (u kunt ook instellen dat deze altijd ingeschakeld is).  Deze technische gids zal u helpen regels te configureren.

Shield en Armor

De Shield- en Armor-hardware voert geavanceerde dreigingsopsporing uit die verhindert dat de resources van een server (hoofdzakelijk cpu-cycli) verzadigd raken. Shield grijpt in als een aanvaller een versterkingstechniek (DNS-amplificatie of NTP-amplificatie), IP-spoofing of reflection attack-vectoren gebruikt. Als laatste onderdeel in de verdedigingslinie is Armor het geavanceerdste filter in ons VAC-systeem. Dit intervenieert door de geavanceerdste aanvallen te mitigeren (inclusief, maar niet beperkt tot: TCP/SYN/cookie auth handshake, zombie detectie, TCP/UDP/GRE/AH/ESP/... flood mitigations en andere).

Anti-DDOS_shield_armor

Klaar om te beginnen?

Maak een account aan en start uw services binnen een paar minuten.

Start nu

Meer informatie over mitigatie

Wat is mitigatie?

Het mitigatieproces is het automatische reinigingscentrum van OVHcloud. Dit is de plek waar onze geavanceerde technologie diep in packets kijkt en kwaadaardig verkeer (DDoS of andere bekende kwetsbaarheden) verwijderd wordt, terwijl legitiem verkeer wordt doorgelaten.

Kan ik permanente mitigatie krijgen?

Uw diensten zijn per definitie altijd beveiligd door automatische mitigatie (detectie altijd actief), die binnen enkele seconden wordt geactiveerd zodra een aanval wordt gedetecteerd. Door permanente mitigatie te activeren, past u constant een eerste filtratieniveau toe met onze Shield-hardware, evenals met de filterregels die u heeft gedefinieerd in de Edge Network Firewall. Als automatische mitigatie wordt geactiveerd, zijn alle VAC-stappen betrokken. Het is belangrijk om op te merken dat, om redenen van beveiliging en beschikbaarheid van de service, alleen onze reeks Game-servers altijd deep packet analysis (Game DDoS Bescherming) ingeschakeld kan hebben. Onze andere oplossingen kunnen ook permanente mitigatie gebruiken – u kunt het vanuit het Control Panel van OVHcloud activeren.

Wat is VAC?

De VAC is een belangrijk onderdeel van onze Anti-DDoS-infrastructuur. Het is een combinatie van verschillende technologieën die voortdurend door OVHcloud worden ontwikkeld en ontworpen zijn om DDoS-aanvallen af te slaan. VAC kan inkomend dataverkeer filteren, zodat alleen legitieme datapackets worden doorgegeven en uw server bereiken, terwijl niet-legitiem dataverkeer wordt geblokkeerd. VAC bevat met name een Edge Network Firewall en Shield- en Armor-componenten.

Kan ik mijn Edge Network Firewall (ENF) aanpassen?

Ja, u kunt filterregels aanmaken in het OVHcloud Control Panel of via een API. U kunt regels voor toestaan (“allow”) en weigeren (“deny”) definiëren, die op specifieke protocollen zijn gebaseerd. Die regels zullen automatisch worden toegepast als de Edge Network Firewall actief is of wanneer de automatische mitigatie ingeschakeld wordt. Zo kunt u de iptables-firewall van uw server naar de netwerkrand verplaatsen, zodat de netwerkverbinding niet verzadigd raakt. Raadpleeg de volgende handleiding voor meer informatie over het configureren van de Edge Network Firewall: "De Firewall Network configureren".

Hoe weet ik of mijn dienst met een DDoS is aangevallen?

Wanneer een aanval op uw diensten wordt gedetecteerd, ontvangt u een bericht via e-mail. U kunt de voortgang van de situatie volgen via het OVHcloud Control Panel, dat u statistieken zal tonen. Wanneer de aanval voorbij is, zullen we u ook inlichten via een andere e-mail. Als u denkt dat uw services het doelwit zijn van een DDoS-aanval en uw gebruikers verslechterde prestaties ondervinden, neem dan contact op met het OVHcloud support team. Zij kunnen dit onderzoeken.