NAVAMS
= Attack Mitigation Services =
Schutz vor Cyber-Angriffen
Cyber-Angriffe sind heutzutage zu einem gängigen Problem geworden. Gleichzeitig ist deren Abwehr ein triviales Verfahren geworden — aber nicht jeder ISP schafft die Umsetzung eines effizienten Erkennungs- und Mitigations-Systems.
Häufig wird „Blackholing“ gewählt — also das Blockieren des Datenverkehrs zur angegriffenen IP-Adresse, um die übrigen Ressourcen des Kunden zu schützen. Diese Methode wirft mehrere Probleme auf; das wichtigste ist das Szenario, in dem mehrere (oft alle) IP-Adressen des Kunden gleichzeitig angegriffen werden. In diesem Fall wäre die einzige Lösung die Einschränkung des Verkehrs zu allen angegriffenen Adressen — und damit die Erfüllung des Angreiferziels: DoS (Denial of Service).
Ein weiteres Problem ist die Erkennungszeit. Die meisten Systeme nutzen statistische Methoden und Änderungen relativ zum Durchschnitt — nicht zu Spitzenwerten — und sammeln Daten via NetFlow oder sFlow. Diese Umsetzung ist bei den meisten kleineren Angriffen ineffizient und benötigt für eine Entscheidung in der Regel ein großes Datenvolumen, was zu sehr langen Zeitspannen führt — manchmal zehnminütige Intervalle vom Beginn bis zur Blockierung des Angriffs. Der einzige Vorteil eines solchen Systems sind die geringen Implementierungskosten.
Eine Verfügbarkeit von 99,99% bedeutet nicht nur die Sicherstellung der Konnektivität. Wenn ein Geschäft von der Internet-Verbindung abhängt, ist ein überlasteter Link genauso nachteilig wie ein unterbrochener. Zudem kann ein kleinerer „Application-Flood“-Angriff selektiv bestimmte Unternehmens-Ressourcen treffen — manchmal unbemerkt. Solche Angriffe zielen meist nicht auf eine Dienst-Unterbrechung, sondern auf den missbräuchlichen Einsatz von Ressourcen, was zu materiellen Verlusten führen kann.
Wir haben das System NAVAMS entwickelt und implementiert, um all diese Probleme zu lösen.
Angesichts der TCP-Protokoll-Eigenschaften bedeutet das die Vermeidung von Paketverlusten bei einem Angriff. Um Dienst-Unterbrechungen zu vermeiden, wurde das Konzept des „Scrubbing“ in den Mitigations-Prozess eingeführt. Bei einem erkannten Angriff wird der Datenverkehr zur Ziel-IP an eine Hochleistungs-Firewall-Farm umgeleitet, die bösartigen Verkehr blockiert und nur legitimen Verkehr zum Ziel weiterleitet.
Es gibt natürlich auch Extremfälle, in denen der Angriff sehr große Werte erreicht und „Blackholing“ entschieden wird. Was das AMS-System von Implementierungen anderer Anbieter unterscheidet, ist die intelligente Verkehrs-Blockierung: Der Transit zur betroffenen Destination wird nie auf Upstream-Verbindungen blockiert, wenn dort kein bösartiger Verkehr besteht oder ausreichend Kapazität zur Vermeidung einer Überlastung vorhanden ist.
All diese Funktionen tragen zur Bereitstellung eines Dienstes höchster Qualität ohne Unterbrechungen und ohne Sorgen bei.
Die Angriffserkennung erfolgt mit der TAP-Methode — das gesamte einkommende Netzwerk-Verkehrsaufkommen wird in Echtzeit und transparent analysiert.
Die Statistik wird in einem Intervall von nur 2 Sekunden erstellt, was zu einer Erkennungs- und Mitigationszeit von maximal 3 Sekunden führt.
Gesamt-Mitigationszeit: 3 Sekunden
Die Zeit vom Beginn des Angriffs bis zu seiner Blockierung.
Erkennungszeit: 2 s
Blockierzeit: 1 s
Reprobing-Intervall: 1 min*
* Intervall, in dem geprüft wird, ob der Angriff beendet ist / Deaktivierung der Filter.
Max. Scrubbing-Kapazität:
140 Gbps / 20 Mpps
Mitigierte Angriffsarten:
High pps / bw rate
TCP, UDP, ICMP, SYN Flood, Fragmentation, Application Flood.
Eingeführte Latenz: < 100 μs (Mikrosekunden)
Gleichzeitige Opfer: 100.000
Gleichzeitige TCP-Verbindungen: 128 Mio.
NAVAMS
Das System NAVAMS – Verkehrsanalyse
Das System NAVAMS – im Einsatz
