DDoS Protection

Cyber-Angriffen immer einen Schritt voraus

Konstanter Betrieb trotz Überlastungsangriff

NMMN bietet eine maßgeschneiderte DDoS-Abwehrlösung, die darauf ausgerichtet ist, Ihre Dienste umfassend vor einer Vielzahl auch paralleler Netzwerkangriffe zu schützen. Diese Lösung deckt effektiv sowohl volumetrische als auch nicht-volumetrische DDoS-Attacken auf der Netzwerk- und Transportschicht (Layer 3 und 4 gemäß dem OSI-Modell) ab.

Der Service Infrastructure DDoS Protection bietet robusten Schutz gegen diverse Bedrohungen wie SYN-Floods, ICMP-Floods, UDP-Floods sowie komplexere DNS-basierte DDoS-Strategien, zu denen DNS-Query-Floods, DNS-Amplification und Water Torture-Angriffe zählen.

Durch den Einsatz unserer fortschrittlichen Technologie zur Angriffsumleitung wird sichergestellt, dass der normale Datenverkehr auf Ihre Systeme nahezu unberührt bleibt. Dies gewährleistet, dass Nutzer Ihrer Plattform eine störungsfreie Erfahrung genießen, selbst im Falle aktiver Angriffsversuche.

Was ist ein DDoS-Angriff?

Eine Distributed Denial of Service (DDoS)-Attacke ist ein fortgeschrittener Cyberangriff, der darauf abzielt, digitale Dienste, Netzwerke oder Server zu destabilisieren. Dies geschieht durch die massive Überflutung des Ziels mit Internetverkehr, was zu einer Überlastung und folglich zu einer Beeinträchtigung der Zugänglichkeit führt.

Der Angriff wird häufig durch ein sogenanntes “Botnetz” orchestriert – ein Netzwerk aus kompromittierten Computern, die ferngesteuert Anfragen in enormer Menge an das Ziel senden.

Das primäre Ziel einer DDoS-Attacke ist es, die reguläre Funktionalität und Erreichbarkeit von Online-Diensten oder Websites zu stören, was zu erheblichen operativen und finanziellen Schäden führen kann.

Bewahren Sie durch den Schutz vor DDoS-Attacken Ihr Unternehmen vor Arbeitsausfällen, Umsatzeinbußen und Imageverlust.

Innovative Abwehrtechnologien

Unsere DDoS-Abwehrsysteme nutzen die neuesten Erkenntnisse und Technologien, um hoch entwickelte Angriffe abzuwehren. Von traditionellen Volumenangriffen bis zu komplexen Multi-Vektor-Attacken – wir sorgen dafür, dass Ihr Netzwerk sicher und funktionsfähig bleibt.

Der Cloud-basierte Schutz aus Deutschland entwickelt sich dank KI stetig weiter.

Skalierbarer Backbone vom renommierten Partner

Weltweite Datacenter

Um effektiven Schutz gegen DDoS-Angriffe zu bieten, sind Skalierbarkeit, Präzision und Schnelligkeit entscheidend. Die weltweite Verteilung der derzeit 10 Datencenter für das Scrubbing sowie 40 POPs reduziert die Latenzzeiten signifikant, was für die Echtzeit-Abwehr von Angriffen essenziell ist.

Die fortschrittliche Infrastruktur im Backbone der Infrastructure DDoS Protection ermöglicht eine schnelle Reaktion auf verschiedene Angriffsarten, indem sie geringe Latenzzeiten und hohe Kapazitäten bietet. Dies sichert kontinuierlichen Betrieb und Schutz.

Durch das spezialisierte Netzwerkdesign wird das Routing zu wichtigen Internetknoten und globalen Carriern optimiert. Ein weiterer dedizierter transatlantischer und transpazifischer Backbone garantiert extrem schnelle Latenzzeiten und eine konstante Betriebszeit Ihrer Infrastruktur.

DDoS Protection Made in Germany

Wir arbeiten mit dem Hersteller Link11 zusammen. Das Unternehmen ist der führende europäische IT-Sicherheitsanbieter im Bereich Cyber Resilience mit Hauptsitz in Deutschland hat seit über 18 Jahren Markterfahrung. Die vollständig DSGVO-konforme Lösung schützt weltweit 2 Millionen Assets von nationalen und internationalen Unternehmen.

Nach einhelliger Analystenmeinung (Gartner, Forrester) bietet Link11 die schnellste Erkennung und Abwehr (TTM) auf dem Markt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erkennt Link11 als qualifizierten DDoS-Schutzanbieter für kritische Infrastrukturen an.

DDoS-Erkennung und -Abwehr

Schutz vor volumetrischen Angriffe

  • Botnet-basierte TCP-Floods
  • Botnet-basierte UDP-Floods
  • ICMP-Floods
  • UDP- Amplification Reflection Floods
  • TCP Reflection Floods
  • Unbekannte/unspezifizierte Protokolle, die künstliche Intelligenz/ maschinelles Lernen nutzen

Schutz vor Protocol Floods

  • TCP-SYN
  • TLS/SSL
  • Unzulässige Kombinationen von IP/TCP-Header-Flags
  • Unbekannte/unspezifizierte Protokolle, die künstliche Intelligenz/ maschinelles Lernen nutzen
Logo der Link11 - Partner für die NMMN Infrastruktur DDoS Protection

Varianten

Zum Schutz eines oder mehrerer IPv4-Subnetze von /29 mit 5 öffentlichen IP-Adressen bis /24 mit 253 IP-Adressen. Für alle IP-Adressen in diesen Segmenten wird bei einem Angriff, der auch mehrere Tbit/s überschreiten darf, der Datenverkehr automatisiert gefiltert, sodass ausschließlich White-Traffic durchgelassen wird.

Infrastructure DDoS Protection mit Management und Support

Lokaler Support

Sie haben Wichtigeres zu tun, wenn Ihr Unternehmen angegriffen wird!

Als Managed Service übernimmt NMMN vollumfänglich das Monitoring und die Anpassung des Schutzregelwerks. Im Ereignisfall erfolgt eine sofortige Benachrichtigung. Optional stehen Unterstützungsleistungen für Gegenmaßnahmen zur Verfügung.

Alle regelmäßigen und wichtigen Aufgaben erledigen unsere versierten Systemadministratoren schnell, kompetent und unkompliziert. Während der Geschäftszeiten stehen diese Ihnen auch direkt per Hotline zur Verfügung und auf Wunsch geben wir Ihnen für alle anderen Zeiten eine optionale Rufbereitschaftsnummer.

Website Protection mit Managed CDN

Die Infrastructure DDoS Protection schützt die Netzwerke und Infrastruktur Ihrer Organisation vor volumetrischen Floods auf Netzwerkebene Layer 3 und Layer 4. Für weiteren Schutz von Websites und Web-Anwendungen auf Layer 7-Ebene nutzen Sie gerne unser Managed CDN, das auch eine Web Application Firewall (WAF) und ebenfalls DDoS-Schutz enthält.

Leistungsumfang

Im Rahmen der NMMN Infrastructure DDoS Protection sind folgende Leistungen enthalten:

  • initiale Einrichtung nach Absprache
  • Schnelle Bereitstellung
  • Aktiver Schutz für Ihre IT-Infrastruktur und Daten
  • Vollschutz auf IPv4-Ebene
  • Basisschutz auf IPv6-Ebene
  • Schutzbandbreite von 100 Gbit/s
  • Regelmäßige Anpassungen und Aktualisierungen
  • Monitoring and Alerting
  • Zentrales Sicherheitsmanagement für die Infrastruktur bei der NMMN
  • Einzelfallbezogener Service mit individueller Beurteilung und direktem Kontakt zum NMMN-Team

Glossar zum Thema DDoS

Mitigation im Kontext von DDoS-Angriffen bezeichnet den Prozess der Abwehr und Minderung der Auswirkungen solcher Angriffe auf Netzwerkressourcen und Dienste. Dieser Prozess umfasst die Erkennung ungewöhnlichen Verkehrs, die Differenzierung zwischen legitimen Anfragen und Angriffsverkehr sowie das Implementieren von Maßnahmen, um den schädlichen Datenverkehr zu filtern und zu blockieren. Ziel der Mitigation ist es, die Stabilität und Verfügbarkeit des betroffenen Dienstes so schnell wie möglich wiederherzustellen, indem der Angriffsverkehr neutralisiert wird, während der reguläre Betrieb so wenig wie möglich beeinträchtigt wird. Effektive Mitigation erfordert fortschrittliche Technologien und Strategien, um auf die sich ständig verändernden Taktiken der DDoS-Angreifer reagieren zu können.

Cyber-Resilienz bezieht sich auf die Fähigkeit einer Organisation, sich auf Cyberangriffe, insbesondere DDoS-Angriffe, vorzubereiten, darauf zu reagieren und sich von ihnen zu erholen. Dies umfasst nicht nur präventive Maßnahmen zur Verhinderung solcher Angriffe, sondern auch Strategien zur Minimierung der Auswirkungen, sollte ein Angriff erfolgen. Cyber-Resilienz bedeutet, robuste Systeme und Prozesse zu implementieren, die es ermöglichen, den Betrieb während und nach einem Cyberangriff aufrechtzuerhalten.

Dies erfordert eine Kombination aus Technologie, gut durchdachten Sicherheitsrichtlinien und fortlaufender Schulung der Mitarbeiter, um die organisatorische Widerstandsfähigkeit gegenüber Cyberbedrohungen zu stärken.

Black Traffic ist eine Kategorisierung des Verkehrs von nicht legalen Nutzern. Es ist der Verkehr, der Teil eines DDoS-Angriffs ist und gefiltert werden muss.

“White Traffic” bezeichnet den legitimen und regulären Datenverkehr, der durch die normale Nutzung von Netzwerkdiensten entsteht. Er ist ein wesentlicher Bestandteil des täglichen Betriebs und steht im Gegensatz zu bösartigem Verkehr, wie er bei DDoS-Angriffen vorkommt. Dieser rechtmäßige Datenfluss ist essenziell für das reibungslose Funktionieren digitaler Dienste und Netzwerkinfrastrukturen.

Ein Scrubbing Center, auch als Scrubbing Network bekannt, ist eine spezialisierte Einrichtung im Rahmen der DDoS-Protection, die darauf ausgelegt ist, schädlichen Datenverkehr von legitimen Anfragen zu trennen. Bei einem DDoS-Angriff wird der eingehende Datenverkehr durch das Scrubbing Center geleitet, wo er analysiert und gefiltert wird. Schädliche Datenpakete, die Teil des Angriffs sind, werden identifiziert und entfernt, während der berechtigte Verkehr zum Zielserver weitergeleitet wird.
Dies ermöglicht es, die Auswirkungen eines DDoS-Angriffs zu minimieren und die kontinuierliche Verfügbarkeit und Leistung des betroffenen Dienstes aufrechtzuerhalten. Scrubbing Center sind ein essenzieller Bestandteil umfassender DDoS-Schutzstrategien und bieten eine effektive Abwehr gegen breit gefächerte Angriffsformen.

Das Internet Control Message Protocol (ICMP) ist ein integraler Bestandteil des Internetprotokoll-Standards und dient primär der Übermittlung von Diagnose- und Fehlermeldungen zwischen Netzwerkgeräten. Es unterstützt eine Vielzahl von Netzwerkoperationen, wie das Routing von Datenpaketen und das Identifizieren unerreichbarer Netzwerkziele. ICMP ist entscheidend für die Aufrechterhaltung der Netzwerkeffizienz und -sicherheit, indem es wertvolle Informationen über Netzwerkprobleme und -zustände liefert.

Das OSI-Modell (Open Systems Interconnection Model) ist ein konzeptionelles Rahmenwerk, das die Funktionen eines Telekommunikations- oder Computernetzwerks in sieben abstrakte Schichten unterteilt. Bei DDoS-Angriffen auf die Schichten 3 und 4, bekannt als Netzwerk- und Transportschicht, werden typischerweise Protokolle wie IP (Internet Protocol) auf Schicht 3 und TCP/UDP (Transmission Control Protocol/User Datagram Protocol) auf Schicht 4 ausgenutzt.

Angriffe auf diese Ebenen, wie IP-Spoofing oder SYN-Floods, zielen darauf ab, die Netzwerkinfrastruktur zu überlasten und die Verfügbarkeit von Diensten zu unterbrechen. Das Verständnis dieser Schichten im OSI-Modell ist entscheidend für die Entwicklung effektiver Sicherheitsstrategien gegen solche Angriffe.

Über die Web Application Firewall konfigurieren wir hochwirksame Regeln. Jede Anfrage an die WAF wird mit der Rule Engine und den Bedrohungsdaten abgeglichen, die beim Schutz von Millionen Websites gewonnen wurden. Je nach Bedarf können verdächtige Anfragen blockiert, geprüft oder protokolliert werden, während legitime Anfragen an das Ziel weitergeleitet werden.

Das Border Gateway Protocol (BGP) ist ein standardisiertes Außenrouting-Protokoll, das zur Steuerung des Datenverkehrs zwischen verschiedenen autonomen Systemen im Internet verwendet wird. Im Kontext von DDoS-Angriffen kann BGP ausgenutzt werden, um den Datenverkehr umzuleiten oder zu manipulieren, was zu Netzwerkunterbrechungen oder -überlastungen führt.
Angreifer können BGP-Hijacking betreiben, um Datenverkehr auf ihre Ziele umzuleiten und so die Infrastruktur zu überlasten. Die Sicherung von BGP-Routing ist daher ein kritischer Aspekt der Netzwerksicherheit, um solche Angriffe zu verhindern oder zu minimieren.
Ein HTTP-Request Flood ist eine Form des Distributed Denial of Service (DDoS) Angriffs, bei dem ein Server oder Dienst durch eine überwältigende Menge von HTTP-Anfragen überlastet wird. Diese Anfragen werden in schneller Folge gesendet, um die Ressourcen des Zielsystems zu erschöpfen, wodurch legitime Benutzeranfragen blockiert oder verlangsamt werden. Diese Angriffsmethode zielt darauf ab, die Funktionsfähigkeit einer Website oder eines Online-Dienstes durch Überlastung des Webservers zu stören und ist eine häufige Taktik in der Cyberkriminalität.
Ein SYN-Flood ist eine spezielle Art des DDoS-Angriffs, bei dem ein Angreifer zahlreiche SYN-Pakete (ein Initialisierungssignal im TCP-Handshake-Prozess) an das Ziel sendet, ohne den Handshake-Vorgang abzuschließen. Diese Halb-Offenen Verbindungen beanspruchen die Ressourcen des Servers und können ihn schließlich überlasten, sodass er keine legitimen Anfragen mehr bearbeiten kann.
Dieser Angriff nutzt eine Schwäche im TCP-Verbindungsverfahren aus, um den betroffenen Server oder Dienst lahmzulegen, wodurch der rechtmäßige Datenverkehr blockiert wird. Die Abwehr von SYN-Flood-Angriffen erfordert spezialisierte Sicherheitsmechanismen, um die Netzwerkressourcen und die Serviceverfügbarkeit zu schützen.

NIS2: Die NIS2-Richtlinie ist eine Aktualisierung der ursprünglichen Netz- und Informationssystem-Richtlinie der Europäischen Union. Ihr Ziel ist es, ein höheres Sicherheitsniveau für Netzwerke und Informationssysteme in der EU zu erreichen. NIS2 erweitert den Anwendungsbereich auf weitere Sektoren und Unternehmen, schärft die Sicherheitsanforderungen und Meldepflichten und verstärkt die Durchsetzung und Überwachung zur Gewährleistung einer robusten Cybersicherheit in wichtigen Branchen. Weitere Information hier.

MaRisk: Die Mindestanforderungen an das Risikomanagement (MaRisk) sind eine Sammlung von Vorschriften, die von der Bundesanstalt für Finanzdienstleistungsaufsicht in Deutschland herausgegeben wurden. Sie dienen dazu, die organisatorische Struktur und das Risikomanagement von Finanzinstituten zu regeln, einschließlich Aspekten wie internes Kontrollsystem, Risikotragfähigkeit und Liquiditätsmanagement.

VAIT: Die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) sind von der deutschen Finanzaufsichtsbehörde speziell für Versicherungsunternehmen entwickelt worden. Sie definieren Anforderungen für das IT-Management, IT-Governance, Informationssicherheit und den Umgang mit IT-Risiken, um die Sicherheit und Integrität der IT-Systeme in der Versicherungsbranche zu gewährleisten.

BAIT: Die Bankaufsichtlichen Anforderungen an die IT (BAIT) legen die Erwartungen der deutschen Finanzaufsichtsbehörde an das IT-Management von Banken fest. Sie enthalten Vorschriften zu IT-Governance, IT-Risikomanagement, Informationssicherheit und Notfallmanagement, um eine sichere und effiziente IT-Umgebung in Banken sicherzustellen.

ZAIT: Die Zahlungsinstitutsaufsichtlichen Anforderungen an die IT (ZAIT) sind ähnlich wie BAIT, richten sich aber speziell an Zahlungsinstitute und E-Geld-Institute in Deutschland. Sie umfassen Vorschriften zur IT-Governance, IT-Risikomanagement und Informationssicherheit, die auf die spezifischen Bedürfnisse und Risiken dieser Institute zugeschnitten sind.

DORA: Die Digital Operational Resilience Act (DORA) ist ein Vorschlag der Europäischen Kommission, der darauf abzielt, die digitale Widerstandsfähigkeit des Finanzsektors zu stärken. DORA schlägt strenge Anforderungen für das Risikomanagement, die Berichterstattung und die Prüfung der Informationssysteme vor, einschließlich der Regulierung von kritischen Dienstleistern im Finanzsektor.

IT-SiG 2.0: Das IT-Sicherheitsgesetz 2.0 ist eine Erweiterung des deutschen IT-Sicherheitsgesetzes. Es zielt darauf ab, die Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen und Unternehmen im besonderen öffentlichen Interesse zu erhöhen, um die nationale Sicherheit und Widerstandsfähigkeit gegen Cyberangriffe zu stärken.

FISG: Das Finanzmarktintegritätsstärkungsgesetz (FISG) ist ein deutsches Gesetz, das darauf abzielt, die Integrität und Transparenz des Finanzmarktes zu stärken. Es umfasst Maßnahmen zur Verbesserung der Überwachung und Prüfung von Finanzunternehmen, zur Stärkung der Unabhängigkeit der Finanzaufsicht und zur Verschärfung von Strafen bei Verstößen gegen Finanzmarktregulierungen.

Sie möchten diesen Service anfragen?

Füllen Sie das untere Formular für Ihre Anfrage aus. Wir melden uns mit einer passenden Lösung für Ihr individuellen Herausforderungen.

Haben Sie allgemeine Fragen zu unserem Service? Dann melden Sie sich jetzt unter Kontakt.



    Ich stimme zu, dass NMMN New Media Markets & Networks IT-Services GmbH die oben angegebenen persönlichen Daten speichern und verarbeiten darf, um angeforderte Informationen bereitzustellen und andere Benachrichtigungen zuzustellen. Erfahren Sie mehr in unserer Datenschutzerklärung.*

    Alle mit * gekennzeichneten Felder sind Pflichtfelder

    WordPress Cookie Plugin von Real Cookie Banner