DE102018130588B4 - Computerimplementiertes Verfahren zur Abwehr oder Abmilderung von DDoS-Angriffen auf IT-Infrastrukturen - Google Patents

Computerimplementiertes Verfahren zur Abwehr oder Abmilderung von DDoS-Angriffen auf IT-Infrastrukturen Download PDF

Info

Publication number
DE102018130588B4
DE102018130588B4 DE102018130588.5A DE102018130588A DE102018130588B4 DE 102018130588 B4 DE102018130588 B4 DE 102018130588B4 DE 102018130588 A DE102018130588 A DE 102018130588A DE 102018130588 B4 DE102018130588 B4 DE 102018130588B4
Authority
DE
Germany
Prior art keywords
hardware
computer
filter rules
filter
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102018130588.5A
Other languages
English (en)
Other versions
DE102018130588A1 (de
Inventor
Matthias Wichtlhuber
Christoph Dietzel
Thomas King
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
De Cix Man GmbH
De-Cix Management GmbH
Original Assignee
De Cix Man GmbH
De-Cix Management GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by De Cix Man GmbH, De-Cix Management GmbH filed Critical De Cix Man GmbH
Priority to DE102018130588.5A priority Critical patent/DE102018130588B4/de
Priority to US16/698,999 priority patent/US11122076B2/en
Publication of DE102018130588A1 publication Critical patent/DE102018130588A1/de
Application granted granted Critical
Publication of DE102018130588B4 publication Critical patent/DE102018130588B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/143Denial of service attacks involving systematic or selective dropping of packets

Abstract

Computerimplementiertes Verfahren zur Abwehr oder Abmilderung von DDoS-Angriffen auf IT-Infrastrukturen, das folgende Schritte umfasst:a) Empfang nutzergenerierter Filterregeln, die von durch einen DDoS-Angriff betroffenen Nutzern mittels BGP-Signalen an einen Route-Server des Knotenpunkt-Betreibers oder an eine durch den Knotenpunktbetreiber bereitgestellte Programmierschnittstelle gesandt werden,b) Berechnung eines erwünschten Gesamtsystemzustandes aus der Summe der übermittelten Filterregeln in einem Controller-System, Ableitung eines Stroms von abstrakten, d.h. hardwareunabhängigen Konfigurationsänderungen ,c) Weiterleitung der Filterregeln an ein Management-System, in dem der Status aller in Schritt b) generierten, abstrakten Konfigurationsänderungen verwaltet wird, wobei das Management-System unter Nutzung der vom jeweiligen Hersteller vorgegebenen Syntax und unter Berücksichtigung der herstellerspezifischen Besonderheiten genau diejenigen Filterregeln in die Knotenpunkthardware-spezifischen Konfigurationen übersetzt, die den Fähigkeiten der jeweiligen Hardware entsprechen,d) Aktivierung der in der jeweiligen Router-Hardware vorhandenen Möglichkeiten zur Einrichtung von Netzwerkverkehrsfiltern, mittels derer die Filter- und Blockier-Mechanismen auf den Hardware-Komponenten in Gang gesetzt werden,e) Filterung des Datenverkehrs am individuellen Ausgangs-Port des Internet-Knotenpunktes entsprechend den in Schritt c) weitergeleiteten Filterregeln.f) Blockierung oder Bandbreitenlimitierung des in Schritt e) herausgefilterten Datenverkehrs.

Description

  • Die vorliegende Erfindung betrifft computerbasierte Kommunikationssysteme, wie beispielsweise das Internet, und insbesondere Systeme und Verfahren zur Abwehr gegen DoS-Angriffe (Dienstverweigerungsangriffe) auf Internetserver.
  • Computersysteme zur Bereitstellung von Diensten, Inhalten oder Daten in einem öffentlich zugänglichen Netzwerk, wie beispielsweise dem Internet, sind im zunehmenden Maße Angriffen ausgesetzt. Dabei wird häufig versucht, durch eine Überlastung des Computersystems eine Nutzung von Diensten oder Inhalten zu blockieren. Nutzer können dann nicht mehr auf angebotene Dienste oder Daten zugreifen. Solche auch als DoS-Angriff (Denial of Service) bezeichnete Dienstverweigerungs- oder Dienstblockadeangriffe können beispielsweise eine Benutzung eines Online-Shops oder eines Medien-Anbieters über das Netzwerk für Stunden oder auch Tage verhindern und somit einen erheblichen wirtschaftlichen Schaden anrichten.
  • Insbesondere verteilte DoS-Attacken (distributed DoS, DDoS), bei denen eine Vielzahl von Rechnern gleichzeitig und im Verbund Anfragen an ein Computersystem stellt, stellen eine große Gefahr dar. Dazu installiert sich beispielweise eine Schadsoftware, etwa in Form eines Computervirus, selbstständig bei einzelnen Rechnern ohne dass der eigentliche Benutzer dieses bemerkt. Ferngesteuert oder zu einem vorgegebenen Zeitpunkt löst die Schadsoftware auf allen betroffenen Rechnern, welche dann auch als Bots oder Zombies bezeichnet werden, gleichzeitig Anfragen an das angegriffene Computersystem aus. Jede Anfrage beansprucht Ressourcen des Computersystems, wodurch schnell eine Überlastung auftritt.
  • Typische DDoS-Angriffe zielen dabei regelmäßig auf eine Überlastung eines Netzzugangs oder der Ressourcen einer Firewall, eines Webservers oder eines Datenbankservers des Computersystems.
    Die Digitalisierung und eine steigende Zahl vernetzter Geräte aus dem Internet of Things (IoT) eröffnen Angreifern immer neue Möglichkeiten. Mittlerweile sind Angriffsbandbreiten von deutlich über einem Terabit (1.000 Gbit oder 1 Billion Bits) pro Sekunde möglich. Während vor 2015 die größten beobachteten und öffentlich gemeldeten Angriffe zwischen 50 und 200 Gbps lagen, sind die aktuellen Spitzen um eine Größenordnung höher und überschritten 2016 1 Tbps und Anfang 2018 1,7Tbps. Es wurde auch ein massiver Anstieg der Anzahl der DDoS-Angriffe beobachtet. Zwischen 2016 und 2017 sollen ein Drittel aller aktiven /24-Netzwerke von DDoS-Angriffen betroffen gewesen sein.
  • Insbesondere problematisch für die betroffenen Systembetreiber sind auch bandbreiten-starke, spezialisierte Attacken im Multi-Hundert-Gigabit-Bereich, wie sie verschiedene Amplification- und Reflection-Angriffe bspw. via UDP oder NTP erzeugen. Hierbei werden Protokolldesignfehler ausgenutzt, bei denen eine relativ kleine Anfrage eine wesentlich größere Antwort auslöst. Mit einer gefälschten Quell Internet Protocol (IP) Adresse wird die Antwort verstärkt an das Ziel reflektiert. Auch wellenartige Angriffe und Multi Vector Angriffe stellen Zielsysteme zunehmend vor Herausforderungen.
  • Betreiber von Internet Exchange Points (IXPs) sind mit der Gefahr von DDoS Angriffen vetraut. Sie stehen an der Schnittstelle zwischen Netzwerken und erlauben den angeschlossenen Netzwerken Netzwerkverkehr untereinander auszutauschen. Üblicherweise sind IXPs auf der Netzwerkschicht transparent, das heißt sie bieten kein eigenes Routing an. Um jedoch den Austausch von Border Gateway Protocol (BGP) Routen zwischen vielen Netzwerken zu erleichtern, bieten viele IXPs sogenannte Routeserver an. Diese sorgen für ein Multiplexing des Austausches von Routen zwischen den angeschlossenen Netzwerken. Im Gegensatz zu Internet Service Providern (ISPs) ist bei IXPs also der Kontrollpfad (der Austausch von Weiterleitungsinformationen zwischen angeschlossenen Netzwerken) vom Datenpfad (der tatsächlichen Weiterleitung von Netzwerkverkehr) physisch getrennt. Insbesondere für Angriffe mit hohem Volumen, bieten sich IXPs als Filterlokation an, da sie aufgrund ihrer Position zwischen vielen Netzwerken über eine hohe Kapazität verfügen, um Netzverkehr zu filtern. Dennoch stellt die spezielle Architektur mit Trennung von Kontroll- und Datenpfad eine Herausforderung dar, die von einem effektiven Filtermechanismus adressiert werden muss.
  • Aktuell existieren für den Einsatz an IXPs nur Abwehrtechniken und -werkzeuge, die den Auswirkungen der Angriffe nur teilweise oder mit hohem Aufwand entgegenwirken können.
  • Dazu gehören unter anderem
    • (i) Traffic Scrubbing Services (TSS),
    • (ii) Router Access Control List Filter (ACL) und
    • (iii) BGP Blackholing (RTBH).
  • „Traffic Scrubbing Services“ leiten den gesamten Datenverkehr des Nutzers zunächst auf TSS-eigene Infrastruktur um, filtern ungewollte Daten (auf IP-Ebene, unter Einsatz erheblicher Rechenleistung) heraus und leiten den „gereinigten“ Datenverkehr anschließend an seinen vorgesehenen Bestimmungsort. Solche Services erzeugen aber erhebliche laufende Kosten, führen aufgrund der Daten-Umleitung und Verarbeitung zu Performance-Verzögerungen, gewährleisten aber eine hohe Filtergüte.
  • Router Access Control List („ACL“)-Filter sind Netzwerkfilter die den ein- und ausgehenden Datenverkehr eines Netzwerkes filtern. Die Filter-Mechanismen müssen vom Verwender vorgegeben werden und üblicherweise händisch vom IXP Betreiber konfiguriert werden. Implementierungen und Leistungsvermögen hängen jeweils von der herstellerspezifischen Hardware ab, die die Filter beinhaltet. Die Effektivität hängt weiter davon ab, ob die betreffende Hardware homogen mit sonst verwendeter Hardware ist und an welcher Stelle des Netzwerkes die entsprechende Filterhardware zugeschaltet wird (je später, desto weniger effektiv). ACL-Filtersysteme sind nicht gut skalierbar und erfordern ein hohes Maß an individueller Netzwerk-Anpassung - was sie eher für den individuellen Gebrauch und weniger zur großrahmigen Verwendung an IXPs brauchbar macht.
  • Anders gehen Betreiber beim Rate Limiting vor: Hier lässt sich die Anfragenzahl einer IP-Adresse pro Minute begrenzen. Traffic, der über den gesetzten Schwellwert hinausgeht, wird einfach verworfen. Hier bleibt der Dienst jedoch ebenfalls nicht durchgängig online. Teilweise erreicht schadhafter Traffic die IP-Adresse, teilweise nicht. Für Nutzer zeigt sich dies an einer Website, die immer wieder kurz verfügbar und offline ist. Online-Einkäufe tätigen wird damit erschwert oder gar unmöglich.
  • BGP (Border Gateway Protocol) Blackholing (RTBH), das auch als RemoteTriggered Blackhole-Filterung bezeichnet wird, ist eine weitere wirksame DDoS-Abwehrtechnik.
    Seit den 1980er Jahren wird diese Technik zur Angriffsabwehr eingesetzt, seit etwa 15 Jahren ist Blackholing bei Betreibern von Internet Service Providern (ISPs) oder IXPs gängige Praxis. Beim Blackholing führt der Betreiber des angegriffenen Autonomen Systems (AS) ein als „Blackhole“ markiertes Routen-Announcement der betroffenen IP-Bereiche über BGP durch. Dadurch wird der Next-Hop auf eine vordefinierte Blackholing-IP-Adresse (Blackhole) umgeschrieben. Der Traffic - unabhängig ob schadhaft oder legitim - fließt anschließend nicht mehr auf die anvisierte IP-Adresse, sondern in Richtung Blackhole und wird dort verworfen. Der Angriffs-Traffic kann dadurch keine Schäden (z.B. Linküberlastungen) mehr im AS des Betreibers anrichten, der vom Angreifer anvisierte Dienst ist jedoch auch für legitime Anfragen nicht mehr verfügbar. Blackholing schützt also den Betreiber der Infrastruktur zum betroffenen Webserver, es schützt jedoch nicht die Erreichbarkeit des betroffenen Webservers. Blackholing ist weit verbreitet und - zumindest auf Betreiberseite - in erster Näherung mit relativ geringem Aufwand verbunden: Mittels nur eines Switches wird der Traffic sofort null-geroutet. Allerdings lässt sich die aktuell verworfene Traffic-Menge nicht nachvollziehen. Es ist also nicht zu erkennen, ob der Angriff noch anhält. Um dies zu überprüfen, muss das Blackholing immer wieder an- und abgeschaltet werden. Für die Verantwortlichen bedeutet das einen hohen Monitoring-Aufwand und möglicherweise Systemausfälle, sollte der Angriff noch aktiv sein. Für Kunden bzw. die Dienste hinter der angegriffenen IP-Adresse bedeutet Blackholing mindestens einen Teilausfall, ungewollte Downtime und damit möglicherweise erhebliche Verluste. Das zentrale Problem liegt darin, dass die gesamte IP-Adresse mindestens für einen Teil des Internets oder das ganze Internet Null-geroutet wird. Findet beispielsweise ein Angriff auf nur einen bestimmten Parameter wie Port 80 statt, wird auch der Traffic auf alle anderen Ports verworfen. Blackholing berücksichtigt weder die Parameter der angegriffenen IP noch die „Art“ des Traffics. Es wird deshalb auch als „grobgranular“ bezeichnet. Egal ob schadhaft oder legitim - alles wird verworfen.
    Besonders im IXP Umfeld ist Blackholing höchst problematisch, da es die Kooperation des sendenden Netzwerkes benötigt: der Betreiber muss als „Blackhole“ markierte Routen akzeptieren und korrekt behandeln. Im IXP Umfeld ist dies ein erhebliches Problem, da unter Umständen mehrere hundert Netzwerke zu einer Anpassung ihrer Konfigurationen gebracht werden müssen, da die DDoS Verkehr durchleitenden Router nicht dem IXP Betreiber gehören. Ein am IXP angeschlossenes Netzwerk, dass seine Konfiguration nicht für Blackholing anpasst kann dabei den Blackholing Mechanismus für alle anderen Netzwerke am IXP unbrauchbar machen.
  • Ein vergleichbarer Ansatz zu Blackholing ist BGP FlowSpec. Dieser Mechanismus erweitert Blackholing um eine feinere Granularität, indem er die Spezifikation von Layer 3 und 4 Kriterien über BGP für ein Verwerfen von Netzverkehr einführt. Allerding behebt FlowSpec im Kontext von IXPs nicht das Problem der Notwendigkeit der Kooperation von möglicherweise hunderten Netzwerken um den Mechanismus effektiv zu gestalten.
  • Aus der JP 2018-125 745 A ist beispielsweise eine mit BGP FlowSpec ausgerüstete Transfer-Vorrichtung und ein Transfer-Verfahren zum Reduzieren von Arbeitslast in Datennetzen, insbesondere bei DDoS-Attacken auf IT-Infrastrukturen bekannt.
  • Zusammenfassend lässt sich sagen, dass alle der oben genannten Techniken helfen können, DDoS abzuwehren oder zu mildern. Jede der oben genannten Lösungen hat jedoch ihre eigenen signifikanten Mängel. Zu den Hauptmängeln von TSS gehören sowohl die Kosten als auch der Ressourcenhunger. Zu den Defiziten von ACL-Filtern gehören die begrenzte Skalierbarkeit und der Bedarf an kundenspezifischen Anpassungen. RTBH leidet unter seiner groben Granularität und der Tatsache, dass es einer Zusammenarbeit zwischen angeschlossenen Netzwerken bedarf, um den Dienst effektiv zu gestalten. Letzteres betrifft auch BGP FlowSpec. Darüber hinaus gibt - mit Ausnahme von TSS und BGP FlowSpec - keine der beschriebenen DDoS-Abwehrmethoden dem angegriffenen Netzwerk irgendein Feedback (Telemetrie) darüber, ob der Angriff noch andauert oder bereits beendet ist.
  • Aufgabe der vorliegenden Erfindung ist es daher, ein Verfahren zur Bekämpfung von DDoS-Attacken bereitzustellen, das die Nachteile des Standes der Technik vermeidet.
  • Die erfindungsgemäße Aufgabe wird durch die Bereitstellung eines computerimplementierten Verfahrens zur Abwehr oder Abmilderung von DDoS-Angriffen auf IT-Infrastrukturen gelöst, das folgende Schritte umfasst:
    1. a) Empfang nutzergenerierter Filterregeln, die von durch einen DDoS-Angriff betroffenen Nutzern mittels BGP-Signalen an einen Routeserver des Knotenpunkt-Betreibers oder an eine durch den Knotenpunktbetreiber bereitgestellte Programmierschnittstelle gesandt werden,
    2. b) Berechnung eines erwünschten Gesamtsystemzustandes aus der Summe der übermittelten Filterregeln in einem Controller-System, Ableitung eines Stroms von abstrakten, d.h. hardwareunabhängigen Konfigurationsänderungen,
    3. c) Weiterleitung der Filterregeln an ein Management-System, in dem der Status aller in Schritt b) generierten, abstrakten Konfigurationsänderungen verwaltet wird, wobei das Management-System unter Nutzung der vom jeweiligen Hersteller vorgegebenen Syntax und unter Berücksichtigung der herstellerspezifischen Besonderheiten genau diejenigen Filterregeln in die Knotenpunkthardware-spezifischen Konfigurationen übersetzt, die den Fähigkeiten der jeweiligen Hardware entsprechen,
    4. d) Aktivierung der in der jeweiligen Router-Hardware vorhandenen Möglichkeiten zur Einrichtung von Netzwerkverkehrsfiltern, mittels derer die Filter- und Blockier-Mechanismen auf den Hardware-Komponenten in Gang gesetzt werden,
    5. e) Filterung des Datenverkehrs entsprechend den in Schritt c) weitergeleiteten Filterregeln.
    6. f) Blockierung oder Bandbreitenlimitierung des in Schritt e) herausgefilterten Datenverkehrs.
  • Erfindungsgemäß gibt es grundsätzlich zwei Möglichkeiten, die Filterung des Datenverkehrs vorzunehmen. Entweder erfolgt die Filterung an allen EingangsPorts des Internet-Knotenpunktes oder nur am individuellen Ausgangs-Port, der zum betroffenen Zielnetzwerk führt (von dem die umgesetzten Filterregeln stammen). Die Filterung nur am individuellen Ausgangs-Port ist erfindungsgemäß bevorzugt, da sie einfacher umsetzbar ist, weil nur ein Port entsprechend der Kundenvorgaben konfiguriert werden muss.
  • Das erfindungsgemäße Verfahren bezieht vorteilhafterweise alle Hardware-Komponenten des Knotenpunktes ein und setzt diesen nutzergenerierte Filter-Regeln, die - im Rahmen der ohnehin vorhandenen Kapazitäten - ein Filtern des Datenverkehrs bewirken. Hierbei nutzt das Vefahren die standardmäßigen in der Firmware der Hardware-Komponenten vorgesehenen Programmierschnittstellen zur Einrichtung und Konfiguration der Filter-Regeln; sie ersetzt die vorhandene Firmware nicht.
  • Durch Einbeziehung der vorhandenen Knotenpunkt-Hardware und Kombination von Signalisierung und entsprechendem Filtern führt das erfindungsgemäße Verfahren zu einer effektiveren DDoS-Mitigation. Ein Kernelement der vorliegenden Erfindung ist also die Kombination von kommunizierten Regeln/Vorgaben mit vorhandener Knotenpunkt-Infrastruktur und die Umsetzung der kommunizierten Regeln in den Hardware-Elementen zur Filterung/Blockierung/Hemmung von schädlichem Datenverkehr ohne die Notwendigkeit von Konfigurationsänderungen angeschlossner Netzwerke, d.h., ohne Kooperation von Dritten.
  • Das erfindungsgemäße Verfahren vereint somit die Vorteile eines Filtersystems (bereits in der Knotenpunkt-Hardware und somit ohne Spezialisierungs- bzw. Konfigurierungs-Anforderungen an die Nutzer/Teilnehmer) und des Blackholings. Das Verfahren setzt auf eine Kombination aus Kommunikation zur nutzergenerierten Vorgabe von Filter-Regeln und einem Filtersystem, das in den Hardwareelementen der Knotenpunkt-Infrastruktur sitzt und bereits hier die (nutzergenerierten) Filter-Regeln umsetzt. Die involvierten Hardware-Komponenten (Switches) des Knotenpunktes sind nämlich bereits heute technisch dazu in der Lage, den durchlaufenden Datenverkehr nach vorgegebenen Regeln zu filtern und ausgefilterten, kritischen, Datenverkehr zu blocken bzw. insoweit die Bandbreite zu reduzieren (sog. „Shaping“). Anderer, unkritischer, Datenverkehr wird weiterhin durchgeleitet.
    Im Ergebnis wird die bekannte Blackholing-Technik ersetzt durch eine Technik mit nutzergenerierten Regeln zur fein-granularen Filterung in der KnotenpunktBetreiber-Hardware ohne Beteiligung der Hardware von Dritten. Zu beachten ist hierbei, dass die Erfindung die Fähigkeiten der Blackholing Technik, zwar vollumfänglich abbilden kann, sich aber wie oben ausgeführt sowohl in den erweiterten Filterfähigkeiten als auch in der darunterliegenden Filtertechnik und den daran beteiligten Komponenten stark vom Stand der Technik unterscheidet.
  • Das erfindungsgemäße Verfahren läuft auf einem oder vorzugsweise mehreren, beispielsweise Servern des Knotenpunktes ab und bindet alle Hardware-Komponenten des Knotenpunktes ein. Bevorzugtermaßen wird das erfindungsgemäße Verfahren in eine Software umgesetzt. Die Software-Architektur gliedert sich in drei Ebenen: Signaling, Management und Filtering. Diese Software ist damit eine mögliche Implementierung, bzw. Ausführungsform der vorliegenden Erfindung, um die bestehende Funktionalität der Hardware des Knotenpunktbetreibers zum Schutz vor DDoS-Attacken zu nutzen und dabei die jeweils notwendigen Filterregeln automatisiert an die jeweils im Einsatz befindliche Netzwerkhardware anzupassen (jeder Hersteller implementiert ein jeweils leicht abweichendes System, um auf seinem System Filter einzurichten und zu konfigurieren). Ferner berücksichtigt die Software vorzugsweise die Leistungsfähigkeit der jeweiligen Netzwerkhardware und die Berechtigungen der Kunden, die die Erfindung nutzen möchten. So ist z.B. die Anzahl der möglichen Regeln abhängig von der eingesetzten Netzwerkhardware, damit die Performance nicht leidet, und es muss auch verhindert werden, dass z.B. ein Nutzer eine Filterregel für die Systeme eines anderen Nutzers setzen kann.
  • Die Managementebene der das erfindungsgemäße Verfahren umsetzenden Software besteht vorzugsweise aus zwei Komponenten: Ein Controller und ein Netzwerkmanager. Der Controller ist verantwortlich für die Verfolgung von Filterregeln und deren Änderungen, wie sie vom Routeserver oder der Programmierschnittstelle im Namen der Mitglieder signalisiert werden. Der Netzwerkmanager realisiert die Änderungen der Filterregeln, indem er die hardwarespezifischen Konfigurationsänderungen berechnet. Der Controller implementiert eine Programmierschnittstelle für die direkte Ansprache durch den Kunden und/oder einen BGP-Parser und einen BGP-Prozessor für die Ansprache durch Kunden über BGP. Der BGP Parser verwaltet die „internal BGP“ (iBGP)-Sitzung mit dem Routeserver und analysiert den eingehenden Nachrichtenstrom. Der BGP Prozessor verarbeitet die Semantik von BGP-Nachrichten und speichert die angekündigten Routen in einer Routing Information Base (RIB). Über eine evtl. vorhandenene Programmierschnittstelle angefragte Filterregeln werden ebenfalls in der RIB gespeichert. Anschließend berechnet die Steuerung die Unterschiede zwischen Zustandsänderungen der RIB. Im Wesentlichen stellen diese Unterschiede eine Reihe von abstrakten, d.h. noch hardwareunabhängigen Konfigurationsänderungen dar, die auf das Netzwerk angewendet werden müssen, um alle geforderten Filterregeln umzusetzen. Diese Konfigurationsänderungen werden dann über eine Softwarewarteschlange an den Netzwerkmanager weitergeleitet. Der Netzwerkmanager kompiliert die abstrakten Konfigurationsänderungen in hardwarespezifische und wendet diese in der Hardware an.
    Zu beachten ist, dass eine abstrakte Konfigurationsänderung auf hoher Ebene mehrere konkrete Konfigurationsänderungen auf niedriger Ebene an mehreren Switches erfordern kann. Um die Anzahl der Konfigurationsänderungen innerhalb eines Zeitintervalls auf eine Rate zu begrenzen, die von der Switch-Hardware beherrschbar ist, verwendet die Warteschlange einen Token Bucket-Algorithmus. Er stellt sicher, dass die konfigurierbare Maximum Burst Size (MBS) und ein vernünftiges langfristiges Ratenlimit niemals überschritten werden. Die angeforderten Konfigurationsänderungen werden vom Netzwerkmanager in die Warteschlange gestellt. Auf der abstrakten Ebene kompiliert der Netzwerkmanager abstrakte Konfigurationsänderungen, wie sie vom Controller bereitgestellt werden, in hardwarespezifische. Anschließend werden die Änderungen auf der Weiterleitungshardware (Datenebene) des IXP unter Berücksichtigung der Hardwarebeschränkungen der eigentlichen IXP-Infrastruktur bereitgestellt. Wie bereits erwähnt, gibt es für den Netzwerkmanager mehrere verschiedene mögliche Implementierungen. Tatsächlich hängt das realisierbare Set von den Fähigkeiten der vorhandenen IXP-Hardware ab.
  • Beispielhaft wurden zwei Lösungen für den Netzwerkmanager realisiert, eine mit herstellerspezifischen QoS-Richtlinien und eine SDN-basierte Lösung. Jeder Netzwerkmanager hat über eine Hardware-Informationsbasis Zugriff auf eine Beschreibung der Hardwarebeschränkungen. Dazu gehört z.B. die Anzahl der erlaubten QoS-Richtlinien pro Port oder die Anzahl der OpenFlow-Regeln, die auf einem Switch installiert werden können. Anhand dieser Informationen kann der Konfigurations-Compiler sicherstellen, dass die Einschränkungen eingehalten werden.
  • Die Filterebene der das erfindungsgemäße Verfahren umsetzenden Software hängt wesentlich von der tatsächlich eingesetzten IXP-Hardware ab. Ist die IXP-Plattform nicht SDN-basiert, wird bevorzugt die verfügbare Implementierungsoption genutzt, nämlich QoS-Richtlinien oder ACL Filter. QoS-Richtlinien/ACL Filter können entweder auf alle Eingangsports von IXP-Mitgliedern oder auf den Ziel-IXP-Ausgangsport angewendet werden. Im ersten Fall wird der eingehende Verkehr in die IXP-Plattform unterbrochen oder reduziert. Im letzteren Fall wird der ausgehende Verkehr aus der Plattform des IXP unterbrochen oder reduziert. Erfindungsgemäß ist die letztgenannte Variante bevorzugt, vor allem, um die Komplexität des Konfigurationsverfahrens zu minimieren. Konfigurationsänderungen werden minimiert, da nur der Ziel-Port und nicht die Konfiguration aller anderen (n - 1) Ports aktualisiert werden muss. Außerdem führt ein Update von einem IXP-Mitglied nur zu Änderungen an der Portkonfiguration genau dieses IXP-Mitgliedes. So bleibt die Kausalität erhalten. Diese Implementierungsoption ist derzeit bei der Anmelderin möglich, da sie (zumindest zum Zeitpunkt der Einreichung der vorliegenden Anmeldung) über genügend Kapazität verfügt, um den Netzwerkangriffsverkehr über die IXP-Plattform zu den Engpassports der IXP-Mitglieder zu übertragen. Die Reduzierung des Traffics beim Verlassen der Plattform hat auch den Vorteil, dass Telemetrieinformationen dem Mitglieds-IXP zur Verfügung gestellt werden können.
    Dennoch kann die Umstellung von Ausgangsfiltern auf Eingangsfilter eine bevorzugte Variante für den Einsatz bei kleineren IXPs sein, bei denen die Plattformbandbreite ein Engpass ist.
  • Die Erfindung wird im Folgenden anhand eines Beispiels erörtert, das der Verdeutlichung der technischen Lehre und ihrer Anwendungsmöglichkeiten dienen, die Erfindung jedoch nicht auf diese beschränken soll.
  • Beispiel:
  • Um sicherzustellen, dass das erfindungsgemäße Verfahren am IXP eingesetzt werden kann, ist es wichtig, dass dieses die Grenzen der Hardware des IXP einhält. Daher wurde in einem Laboraufbau überprüft, wie das Verfahren mit einer zunehmenden Anzahl von Filtern und Ports skaliert, und ob die Grenzen für die Aktualisierung der Konfiguration ausreichend sind, um Verfahren zu unterstützen.
    Der Testaufbau bestand aus einem IXP-Edge-Router (ER), einem hardwarebeschleunigten Paketgenerator, einem Ressourcenmonitor und einer das erfindungsgemäße Verfahren umsetzenden Software. Die ER ist mit einer Produktionskonfiguration von mehr als 350 Mitgliedsports konfiguriert, was der höchsten aktuell bei der Anmelderin genutzten Portdichte entspricht. Es wurde eine Reihe von Filterregeln pro Port generiert. Jede Regel verwendet entweder einen MAC-Filter, um den Datenverkehr von einem bestimmten Netzwerk zu blockieren(wie es für das Filtern von Verkehr eines bestimmten Quellnetzwerkes notwendig ist) oder eine zufällige Teilmenge von L3-L4-Kriterien, um den Datenverkehr zu blockieren (die erfindungsgemäßen Filter-Funktionen). Es wurde dann der Anteil der Netzwerke (Ports), die die Erfindung nutzte sowie die Anzahl der Filterregeln pro Port erhöht.
    - zeigt die resultierenden Grenzen für drei verschiedene Fraktionen von IXP-Mitglieder-AS, die die Software aktiv nutzte.
    Begonnen wurde mit 20%, also dem doppelten Prozentsatz der IXP-Mitglieder, die RTBH derzeit täglich nutzen, gefolgt von 60%, eine hohe Akzeptanzrate, zu 100% IXP-Mitgliederakzeptanzrate.
  • Für jede Akzeptanzrate wurde untersucht, ob genügend Hardware-Ressourcen vorhanden sind, um die Anzahl der Filter entlang beider Dimensionen zu erhöhen, nämlich MAC-Filter (auf der y-Achse dargestellt) und L3-L4-Filter (auf der x-Achse dargestellt).
  • OK entspricht ausreichenden Ressourcen; F1 und F2 entsprechen nicht ausreichenden Ressourcen, d.h. die Gesamtzahl der Filterkriterien für QoS-Richtlinien (L3-L4) wird überschritten bzw. die maximale Anzahl der MAC-Filter pro Port (L2) wird überschritten.
    Es überrascht nicht, dass der realisierbare Bereich, also der mit OK markierte Bereich, abnimmt, da die IXP-Mitglieder mehr Filterregeln verwendeten oder mehr IXP-Mitglieder die Software verwendeten.
    Der Ausgangspunkt, , zeigt: Während die Anzahl der Software-Benutzer dem Doppelten der aktuellen (Juni 2018) RTBH-Benutzer entspricht, verwendeten sie jeweils mehr Regeln, um die Vorteile des erfindungsgemäßen Verfahrens zu nutzen. Skalierbarkeitsgrenzen waren nicht zu erkennen.
    Als nächstes, siehe , wurde von einer auf 60% der IXP-Mitglieder erhöhten Akzeptanzrate ausgegangen. Es gab erkennbar immer noch einen großen Spielraum für die Anzahl der MAC-Filter (8N) und die Anzahl der L2-L4-Filter (3N). Selbst mit einer Akzeptanzrate von 100%, siehe , ist die Sicherheitsmarge immer noch erheblich.
  • Zu beachten ist, dass die Experimente davon ausgingen, dass jedes einzelne IXP-Mitglied gleichzeitig seine Anzahl von parallelen Filterregeln erhöht (Dehnungstest). Daher ist der Schluss zulässig, dass die das erfindungsgemäße Verfahren umsetzende Software eingesetzt werden kann, ohne die Filterressourcen der IXP-Plattformen zu überschreiten.
    Es wurde auch untersucht, ob die Hardware die vom erfindungsgemäßen Verfahren vorgeschriebene Update-Frequenz aufrechterhalten kann. Ein Überblick über die Software und die IXPs ER-Hardware zeigt, dass der limitierende Faktor die CPU-Ressourcen der ER sind. Insbesondere läuft auf der Steuerungsebene des ER ein Echtzeit-Betriebssystem und die aktuelle Konfiguration schreibt eine harte CPU-Grenze von 15% für Konfigurationsaufgaben vor. Um zu überprüfen, ob dies ausreicht, wurden die CPU-Ressourcen der ER gemessen und gleichzeitig die Anzahl der Hinzufügungs- und Entfernungsoperationen für Blackholing-Regeln erhöht.
    zeigt, wie viele Regeländerungen in einem Fünf-Sekunden-Intervall (skaliert auf 1 Sekunde) im Vergleich zur entsprechenden CPU-Auslastung verarbeitet wurden. Mit einer CPU-Auslastung von 15% kann der ER einen Median von 4,33 Regeländerungen pro Sekunde verarbeiten. Um vorherzusagen, wie lange es dauert, bis eine Filterregel wirksam wird, wurde ein kontrolliertes Experiment mit der Token Bucket Queue des Controllers durchgeführt: Es wurden Konfigurationsänderungen erfasst, die aus den Traces des RTBH-Dienstes der Anmelderin generiert wurden. Diese Konfigurationsänderungen werden mit einer Rate von jeweils 4/5 pro Sekunde in die Warteschlange gestellt (um die mittlere Aktualisierungsrate der Regel von 4,33 nachzuahmen).
    zeigt, wie lange jedes Update in der Warteschlange blieb, d.h. die Zeit vom Blackholing-Signal bis zur Konfiguration. 70% aller Konfigurationsänderungen liegen deutlich unter 1 Sekunde. Angesichts des Setup-Overheads von alternativen Lösungen, z.B. TSS und manuell einkonfigurierten ACLs, erscheinen diese Ergebnisse aus Sicht der IXP-Mitglieder sicherlich akzeptabel.
  • Das erfindungsgemäße Verfahren ist also am IXP einsetzbar und überfordert aktuelle Hardware nicht.
  • Neben dem erfindungsgemäßen Verfahren stellen
    • • ein System zur Ausführung eines computerimplementierten Verfahrens zur Abwehr oder Abmilderung von DDoS-Angriffen auf IT-Infrastrukturen, in dem oder mittels dessen die Schritte des erfindungsgsgemäßen Verfahrens ausgeführt werden sowie
    • • ein Computerprogrammprodukt, das auf einem nichtflüchtigen (nicht-transitorischen) computerlesbaren Medium computerlesbare Programmbefehle zur Ausführung eines computerimplementierten Verfahrens zur Abwehr oder Abmilderung von DDoS-Angriffen auf IT-Infrastrukturen beinhaltet, die einen Computer veranlassen, die Schritte des erfindungsgsgemäßen Verfahrens auszuführen,
    weitere Gegenstände der vorliegenden Erfindung dar.
  • Das erfindungsgemäße Computerprogrammprodukt kann ein computerlesbares Speichermedium (oder -medien) mit darauf enthaltenen computerlesbaren Programmbefehlen beinhalten, um einen Prozessor zu veranlassen, Aspekte der vorliegenden Erfindung durchzuführen. Das computerlesbare Speichermedium kann eine gegenständliche Einheit sein, die Befehle zur Verwendung durch eine Befehlsausführungseinheit beibehalten und speichern kann. Das computerlesbare Speichermedium kann zum Beispiel eine elektronische Speichereinheit, eine magnetische Speichereinheit, eine optische Speichereinheit, eine elektromagnetische Speichereinheit, eine Halbleiterspeichereinheit oder eine beliebige geeignete Kombination der vorgenannten Einheiten sein, ohne jedoch darauf beschränkt zu sein. Eine nicht vollständige Liste konkreterer Beispiele des computerlesbaren Speichermediums beinhaltet Folgendes: eine tragbare Computerdiskette, eine Festplatte, einen Direktzugriffsspeicher (RAM), einen Festwertspeicher (ROM), einen löschbaren, programmierbaren NurLese-Speicher (EPROM- oder Flash-Speicher), einen statischen Direktzugriffsspeicher (SRAM), einen tragbaren CD-ROM, eine DVD, einen Speicher-Stick, eine Diskette, eine mechanisch codierte Einheit wie z.B. Lochkarten oder erhabene Strukturen in einer Rille mit darauf aufgezeichneten Befehlen sowie eine beliebige geeignete Kombination der vorgenannten Elemente.
  • Bei einem computerlesbaren Speichermedium, wie es hier verwendet wird, ist nicht davon auszugehen, dass es sich an sich um flüchtige Signale wie z.B. Funkwellen oder andere sich frei ausbreitende elektromagnetische Wellen, elektromagnetische Wellen, die sich durch einen Hohlleiter oder ein anderes Übertragungsmedien ausbreiten (z.B. Lichtimpulse, die ein Lichtwellenleiterkabel durchlaufen), oder elektrische Signale, die über eine Leitung übertragen werden, handelt.
    Hier beschriebene computerlesbare Programmbefehle können über ein Netzwerk wie beispielsweise das Internet, ein LAN, ein WAN und/oder ein drahtloses Netzwerk von einem computerlesbaren Speichermedium auf entsprechende Datenverarbeitungseinheiten oder auf einen externen Computer oder eine externe Speichereinheit heruntergeladen werden. Das Netzwerk kann Kupferübertragungskabel, Lichtwellenleiter, eine drahtlose Übertragung, Router, Firewalls, Switches, Gateway-Computer und/oder Edge-Server aufweisen. Eine Netzwerkadapterkarte oder Netzwerkschnittstelle in jeder Datenverarbeitungseinheit empfängt computerlesbare Programmbefehle von dem Netzwerk und leitet die computerlesbaren Programmbefehle zur Speicherung auf einem computerlesbaren Speichermedium innerhalb der betreffenden Datenverarbeitungseinheit weiter. Bei computerlesbaren Programmbefehlen zum Durchführen von Operationen der vorliegenden Offenbarung kann es sich um Assembler-Befehle, ISA-Befehle (Instruction-Set-Architecture), Maschinenbefehle, maschinenabhängige Befehle, Mikrocode, Firmwarebefehle, einen Zustand festlegende Daten oder aber entweder um Quellcode oder um Objektcode handeln, der in einer beliebigen Kombination von einer oder mehreren Programmiersprachen wie z.B. Phyton, einer objektorientierten Programmiersprache wie Smalltalk, C++ oder dergleichen sowie in herkömmlichen prozeduralen Programmiersprachen wie z.B. der Programmiersprache „C“ oder ähnlichen Programmiersprachen geschrieben ist. Allerdings sind die Ausführungsformen der Erfindung nicht mit Bezug auf eine bestimmte Programmiersprache beschrieben. Es versteht sich, dass eine Vielzahl von Programmiersprachen verwendet werden kann, um verschiedene Ausführungsformen der Erfindung, die hierin beschrieben ist, zu implementieren und Verweise auf eine spezifische Sprache lediglich beispielhafte Ausführungsformen der Erfindung darstellen.
    Schließlich sollte beachtet werden, dass die Sprache, die in der Beschreibung verwendet wurde, hauptsächlich aus Gründen der Lesbarkeit und des besseren Verständnisses gewählt wurde, und nicht, um den Gegenstand der Erfindung hierauf zu beschränken. Dementsprechend soll die Offenbarung der Ausführungsformen der Erfindung ein Anschauungsbeispiel sein und nicht den Umfang der Erfindung, die in den folgenden Ansprüchen dargelegt ist, einschränken.
    Die computerlesbaren Programmbefehle können vollständig auf dem Computer des Benutzers, teilweise auf dem Computer des Benutzers, als eigenständiges Softwarepaket, teilweise auf dem Computer des Benutzers und teilweise auf einem entfernt angeordneten Computer oder aber vollständig auf dem entfernt angeordneten Computer oder Server ausgeführt werden. Im letztgenannten Szenario kann der entfernt angeordnete Computer über eine beliebige Art von Netzwerk, unter anderem ein LAN oder ein WAN, mit dem Computer des Benutzers verbunden sein, oder die Verbindung kann mit einem externen Computer (z.B. über das Internet unter Verwendung eines Internet-Dienstanbieters) hergestellt werden. Bei manchen Ausführungsformen kann ein elektronischer Schaltkreis wie z.B. ein programmierbarer Logikschaltkreis, Field-Programmable-Gate-Arrays (FPGAs) oder Programmable-LogicArrays (PLAs) die computerlesbaren Programmbefehle ausführen, indem er Zustandsdaten der computerlesbaren Programmbefehle verwendet, um die elektronische Schaltung zu personalisieren und Aspekte der vorliegenden Erfindung durchzuführen.
  • Ausführungsformen der vorliegenden Erfindung werden hier unter Bezugnahme auf Darstellungen von Ablaufplänen und/oder Blockschaubilder von Verfahren, Vorrichtungen (Systemen) und Computerprogrammprodukten beschrieben. Dabei dürfte klar sein, dass jeder Block der Ablaufplan-Darstellungen und/oder Blockschaubilder sowie Kombinationen von Blöcken in den Ablaufplan-Darstellungen und/ oder Blockschaubildern durch computerlesbare Programmbefehle realisiert werden kann/können. Diese computerlesbaren Programmbefehle können einem Prozessor eines Universalcomputers, Spezialcomputers oder einer anderweitigen programmierbaren Datenverarbeitungsvorrichtung bereitgestellt werden, um eine Maschine zu erzeugen, so dass die Befehle, die über den Prozessor des Computers oder der anderweitigen programmierbaren Datenverarbeitungsvorrichtung ausgeführt werden, ein Mittel erzeugen, mit dem die Funktionen/Handlungen realisiert werden können, die in dem Block bzw. den Blöcken des Ablaufplans und/oder des Blockschaubilds angegeben werden. Diese computerlesbaren Programmbefehle können auch auf einem computerlesbaren Speichermedium gespeichert sein, das einen Computer, eine programmierbare Datenverarbeitungsvorrichtung und/oder andere Einheiten anweisen kann, auf eine bestimmte Art und Weise zu funktionieren, so dass das computerlesbare Speichermedium mit darauf gespeicherten Befehlen einen Herstellungsartikel aufweist, der Befehle enthält, welche Aspekte der in dem Block bzw. den Blöcken des Ablaufplans und/oder des Blockschaubilds angegebenen Funktion/Handlung realisieren. Die computerlesbaren Programmbefehle können zudem in einen Computer, eine anderweitige programmierbare Datenverarbeitungsvorrichtung oder eine andere Einheit geladen werden, um zu veranlassen, dass eine Reihe von Funktionsschritten auf dem Computer, der anderweitigen programmierbaren Datenvorrichtung oder der anderen Einheit ausgeführt wird, so dass die Befehle, die auf dem Computer, der anderweitigen Datenverarbeitungsvorrichtung oder der anderen Einheit ausgeführt werden, die in dem Block bzw. den Blöcken des Ablaufplans und/ oder des Blockschaubilds angegebenen Funktionen/ Handlungen realisieren. Die Ablaufpläne und die Blockschaubilder in den Figuren stellen die Architektur, Funktionalität und den Betrieb möglicher Realisierungen von Systemen, Verfahren und Computerprogrammprodukten gemäß verschiedenen Ausführungsformen der vorliegenden Erfindung bereit. Somit kann jeder Block der Ablaufpläne oder Blockschaubilder ein Modul, Segment oder einen Teil von Befehlen darstellen, das/der einen oder mehrere ausführbare Befehle aufweist, mit denen sich die eine oder mehreren angegebenen logischen Funktionen realisieren lassen. Bei manchen alternativen Ausführungsformen können die in dem Block erwähnten Funktionen in einer anderen Reihenfolge als der in den Figuren genannten auftreten. So können zwei aufeinanderfolgend dargestellte Blöcke tatsächlich im Wesentlichen gleichzeitig stattfinden, oder die Blöcke können mitunter in umgekehrter Reihenfolge ausgeführt werden, wobei dies abhän gig von der betreffenden Funktionalität ist. Zu erwähnen ist ebenfalls, dass jeder Block der Blockschaubilder und/oder der Ablaufplan-Darstellungen sowie Kombinationen von Blöcken in den Blockschaubildern und/oder Ablaufplan-Darstellungen durch Spezialsysteme auf Hardwaregrundlage, welche die angegebenen Funktionen oder Handlungen oder Kombinationen hiervon ausführen, oder durch Kombinationen von Spezial-Hardware- und Computerbefehlen realisiert bzw. durchgeführt werden kann/können.
    Die hier verwendete Begrifflichkeit dient lediglich zur Beschreibung bestimmter Ausführungsformen der vorliegenden Erfindung und ist nicht als Beschränkung der vorliegenden Erfindung gedacht.
    Im hier verwendeten Sinne sollen die Singularformen „ein/e/r“ und „der/die/das“ auch die Pluralformen beinhalten, sofern der Kontext dies nicht eindeutig anderweitig vorgibt. Ebenso offensichtlich dürfte sein, dass die Verben „weist auf“ und/oder „aufweisend“ in dieser Schutzrechtsanmeldung das Vorhandensein der genannten Merkmale, Ganzzahlen, Schritte, Vorgänge, Elemente und/oder Komponenten angeben, ohne jedoch das Vorhandensein oder die Hinzufügung eines oder mehrerer anderer Merkmale, Ganzzahlen, Schritte, Vorgänge, Elementkomponenten und/oder Gruppen derselben auszuschließen.
    Die betreffenden Strukturen, Materialien, Handlungen und Äquivalente aller Mittel oder Schritte zusätzlich zu den Funktionselementen in den nachstehenden Ansprüchen sollen sämtliche Strukturen, Materialien oder Handlungen beinhalten, mit denen die Funktion in Verbindung mit anderen beanspruchten Elementen durchgeführt werden kann, wie sie hier ausdrücklich beansprucht sind. Die Beschreibung von Ausführungsformen der vorliegenden Erfindung wurde zum Zwecke der Veranschaulichung und Erläuterung vorgelegt und ist mit Blick auf die in dieser Form beschriebene Offenbarung nicht als vollständig oder beschränkend zu verstehen. Der Fachmann weiß, dass zahlreiche Änderungen und Abwandlungen möglich sind, ohne vom Umfang der Erfindung abzuweichen. Die Ausführungsformen der vorliegenden Erfindung wurden ausgewählt und beschrieben, um die Grundsätze der Erfindung und die praktische Anwendung bestmöglich zu erläutern und um anderen Fachleuten die Möglichkeit zu geben, die Erfindung und verschiedene Ausführungsformen hiervon mit verschiedenen Abwandlungen zu verstehen, wie sie für die jeweilige, in Erwägung gezogene Verwendung geeignet sind.
  • Ein weiterer Gegenstand der vorliegenden Erfindung ist ein Computer-Datensignal (Datenträgersignal), das in eine Trägerwelle eingebunden ist, wobei das Computer-Datensignal jede Ausführungsform eines Computerprogramm-Produkts oder andere hierin beschriebene Datenkombinationen beinhaltet. Das Computer-Datensignal ist ein Produkt, das in einem materiellen Träger präsentiert und moduliert oder anderweitig in einer Trägerwelle codiert ist, die gemäß einer geeigneten Übertragungsmethode übertragen wird.
  • Figurenliste
    • 1: Software-Architektur zur Umsetzung des erfindungsgemäßen Verfahrens.
    • 2: Implementierung der Signalebene
    • 3: Implementierung der Management-Ebene
    • 4: Implementierung der Filterebene mittels QoS-Richtlinien
    • 5a): 20% IXP-Mitgliederakzeptanzrate
    • 5b): 60% IXP-Mitgliederakzeptanzrate
    • 5c): 100% IXP-Mitgliederakzeptanzrate
    • 6a): Zahl der verarbeiteten Regeländerungen in einem Fünf-Sekunden-Intervall (skaliert auf 1 Sekunde) im Vergleich zur entsprechenden CPU-Auslastung.
    • 6b): Verweildauer jedes Updates in der Warteschlange
    • 6c): Erfolgreiche Eindämmung eines DDos-Angriffs mittels des erfindungsgemäßen Verfahrens.

Claims (8)

  1. Computerimplementiertes Verfahren zur Abwehr oder Abmilderung von DDoS-Angriffen auf IT-Infrastrukturen, das folgende Schritte umfasst: a) Empfang nutzergenerierter Filterregeln, die von durch einen DDoS-Angriff betroffenen Nutzern mittels BGP-Signalen an einen Route-Server des Knotenpunkt-Betreibers oder an eine durch den Knotenpunktbetreiber bereitgestellte Programmierschnittstelle gesandt werden, b) Berechnung eines erwünschten Gesamtsystemzustandes aus der Summe der übermittelten Filterregeln in einem Controller-System, Ableitung eines Stroms von abstrakten, d.h. hardwareunabhängigen Konfigurationsänderungen , c) Weiterleitung der Filterregeln an ein Management-System, in dem der Status aller in Schritt b) generierten, abstrakten Konfigurationsänderungen verwaltet wird, wobei das Management-System unter Nutzung der vom jeweiligen Hersteller vorgegebenen Syntax und unter Berücksichtigung der herstellerspezifischen Besonderheiten genau diejenigen Filterregeln in die Knotenpunkthardware-spezifischen Konfigurationen übersetzt, die den Fähigkeiten der jeweiligen Hardware entsprechen, d) Aktivierung der in der jeweiligen Router-Hardware vorhandenen Möglichkeiten zur Einrichtung von Netzwerkverkehrsfiltern, mittels derer die Filter- und Blockier-Mechanismen auf den Hardware-Komponenten in Gang gesetzt werden, e) Filterung des Datenverkehrs am individuellen Ausgangs-Port des Internet-Knotenpunktes entsprechend den in Schritt c) weitergeleiteten Filterregeln. f) Blockierung oder Bandbreitenlimitierung des in Schritt e) herausgefilterten Datenverkehrs.
  2. Verfahren nach Anspruch 1, wobei das Verfahren die standardmäßigen in der Firmware der Hardware-Komponenten vorgesehenen Programmierschnittstellen zur Einrichtung und Konfiguration der Filter-Regeln nutzt.
  3. Verfahren nach Anspruch 1 oder 2, wobei das Verfahren in Form einer Software auf mehreren Servern eines Internet-Knotenpunktes abläuft.
  4. Verfahren nach einem der vorhergehenden Ansprüche, wobei sich die Architektur der Software in drei Ebenen gliedert, nämlich Signaling, Management und Filtering.
  5. Verfahren nach Anspruch 4, wobei die Managementebene aus zwei Komponenten besteht, nämlich einem Controller, der verantwortlich ist für die Verfolgung von Filterregeln und deren Änderungen, wie sie vom Routeserver oder über eine Programmierschnittstelle im Namen der Mitglieder signalisiert werden und einem Netzwerkmanager, der die Änderungen der Filterregeln realisiert, indem er die hardwarespezifischen Konfigurationsänderungen berechnet.
  6. System zur Ausführung eines computerimplementierten Verfahrens zur Abwehr oder Abmilderung von DDoS-Angriffen auf IT-Infrastrukturen, in dem oder mittels dessen die Schritte des Verfahrens nach einem der Ansprüche 1 bis 5 ausgeführt werden.
  7. Computerprogrammprodukt, das auf einem nichtflüchtigen computerlesbaren Medium computerlesbare Programmbefehle zur Ausführung eines Verfahrens zur Abwehr oder Abmilderung von DDoS-Angriffen auf IT-Infrastrukturen nach einem der Ansprüche 1 bis 5 beinhaltet, die einen Computer veranlassen, die Schritte des Verfahrens nach einem der Ansprüche 1 bis 5 auszuführen.
  8. Computerprogrammprodukt nach Anspruch 7, wobei das computerlesbare Medium eine tragbare Computerdiskette, eine Festplatte, ein Direktzugriffsspeicher (RAM), ein Festwertspeicher (ROM), ein löschbarer, programmierbarer NurLese-Speicher (EPROM- oder Flash-Speicher), ein statischer Direktzugriffsspeicher (SRAM), eine tragbare CD-ROM, eine DVD, ein Speicher-Stick, eine mechanisch codierte Einheit oder eine beliebige geeignete Kombination der vorgenannten Elemente ist.
DE102018130588.5A 2018-11-30 2018-11-30 Computerimplementiertes Verfahren zur Abwehr oder Abmilderung von DDoS-Angriffen auf IT-Infrastrukturen Active DE102018130588B4 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102018130588.5A DE102018130588B4 (de) 2018-11-30 2018-11-30 Computerimplementiertes Verfahren zur Abwehr oder Abmilderung von DDoS-Angriffen auf IT-Infrastrukturen
US16/698,999 US11122076B2 (en) 2018-11-30 2019-11-28 Method for defending against or mitigating DDoS attacks on IT infrastructures

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018130588.5A DE102018130588B4 (de) 2018-11-30 2018-11-30 Computerimplementiertes Verfahren zur Abwehr oder Abmilderung von DDoS-Angriffen auf IT-Infrastrukturen

Publications (2)

Publication Number Publication Date
DE102018130588A1 DE102018130588A1 (de) 2020-06-04
DE102018130588B4 true DE102018130588B4 (de) 2020-12-03

Family

ID=70681267

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018130588.5A Active DE102018130588B4 (de) 2018-11-30 2018-11-30 Computerimplementiertes Verfahren zur Abwehr oder Abmilderung von DDoS-Angriffen auf IT-Infrastrukturen

Country Status (2)

Country Link
US (1) US11122076B2 (de)
DE (1) DE102018130588B4 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6939726B2 (ja) * 2018-07-17 2021-09-22 日本電信電話株式会社 攻撃対処箇所選択装置及び攻撃対処箇所選択方法
US11451582B2 (en) * 2019-10-16 2022-09-20 Arbor Networks, Inc. Detecting malicious packets in edge network devices
CN113242215B (zh) * 2021-04-21 2022-05-24 华南理工大学 一种针对sdn指纹攻击的防御方法、系统、装置及介质
US20230254213A1 (en) * 2022-02-07 2023-08-10 Level 3 Communications, Llc Systems and methods for protecting computing systems using declared constraints

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018125745A (ja) * 2017-02-02 2018-08-09 日本電信電話株式会社 転送装置及び転送方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2002634B1 (de) * 2006-03-27 2014-07-02 Telecom Italia S.p.A. System zum durchsetzen von sicherheitsrichtlinien auf mobilkommunikationsgeräten
DE102010008816A1 (de) * 2010-02-22 2011-08-25 Continental Automotive GmbH, 30165 Verfahren zur Online-Kommunikation

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018125745A (ja) * 2017-02-02 2018-08-09 日本電信電話株式会社 転送装置及び転送方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Übersetzung der Ansprüche der JP2018125745A *
Übersetzung der Beschreibung der JP2018125745A *

Also Published As

Publication number Publication date
US20200177626A1 (en) 2020-06-04
US11122076B2 (en) 2021-09-14
DE102018130588A1 (de) 2020-06-04

Similar Documents

Publication Publication Date Title
DE102018130588B4 (de) Computerimplementiertes Verfahren zur Abwehr oder Abmilderung von DDoS-Angriffen auf IT-Infrastrukturen
DE102016124383B4 (de) Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen
DE102005037968B4 (de) Schutzsystem für eine Netzwerkinformationssicherheitszone
DE60127978T2 (de) System und Verfahren zur Verteidigung gegen Denial-of-Service angriffe auf die Netzwerkknoten
DE202015009244U1 (de) Routing von Datenverkehr innerhalb von und zwischen autonomen Systemen
DE202014011510U1 (de) Filtern von Netzwerkdatenübertragungen
DE112014000322T5 (de) Skalierbare Fluss- und Überlastungssteuerung in einem Netzwerk
DE10301963A1 (de) Verfahren für eine Klassifizierung von Netzwerk-Komponenten eines paket-orientierten Netzwerks
DE102021127243A1 (de) Auswahl von Profilen für virtuelle private Netze
DE102015001024A1 (de) Verfahren und Systeme zum Erkennen von Extrusion und Intrusion in einer Cloud-Computer-Umgebung, welche Netzwerkkommunikationsgeräte verwendet
DE102018214007A1 (de) Zusammenwirken von Altvorrichtungen in virtualisierten Netzwerken
EP3477890A1 (de) Verfahren zum aufbau und betrieb eines dedizierten netzwerks in einem mobilfunknetzwerk und inter-operator blockchain netzwerk
DE102021127677A1 (de) Verfahren und systeme zur dynamischen auswahl des vpnc-gateways und der on-demand vrf-id-konfiguration auf der grundlage von benutzerverhaltensmustern
DE102014107793A1 (de) Verfahren zur Weiterleitung von Daten zwischen Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt
EP3529967B1 (de) Verfahren zum verbinden von geräten mit der sogenannten cloud, computerprogramm mit einer implementation des verfahrens und verarbeitungseinheit zur ausführung des verfahrens
DE202018106846U1 (de) System zur Abwehr oder Abmilderung von DDoS-Angriffen auf IT-Infrastrukturen
DE102010045256A1 (de) Verfahren zum Betreiben eines Firewallgerätes in Automatisierungsnetzwerken
Ali et al. Network architecture and security issues in campus networks
DE102006046023B3 (de) Verfahren zur Optimierung der NSIS-Signalisierung bei MOBIKE-basierenden mobilen Anwendungen
DE102004016582A1 (de) Verfahren zur Überwachung und zum Schutz eines privaten Netzwerks vor Angriffen aus einem öffentlichen Netz
DE202022107267U1 (de) Ein anpassungsfähiges Netzstabilisierungssystem auf der Grundlage der von der Natur inspirierten Cybersicherheit
DE102015016832B4 (de) Abwehr eines Angriffs über ein Netzwerk auf ein Computersystem
DE102017102656A1 (de) Elastisch skalierbares Netzwerkzugangssicherheitssystem und zugehöriges Verfahren und Speichermedium
Winter Firewall Best Practices
DE102021102855B4 (de) Multi Domain Orchestrator und Verfahren zur domänenübergreifenden Koordination von Service-relevanten Maßnahmen sowie Computerprogrammprodukt und Verwendung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000