OcNOS-SP · FastNetMon · BGP Flowspec · RTBH

Erkennen und stoppen Sie DDoS-Angriffe in weniger als 2 Sekunden. In Ihrem eigenen Netzwerk.

OcNOS mit FastNetMon ermöglicht automatisierte DDoS-Erkennung und -Mitigation direkt am Netzwerk-Edge: ohne Scrubbing-Center, ohne Cloud-Umleitung, ohne zusätzliche Latenz. Angriffe werden über sFlow-/NetFlow-Telemetrie erkannt und in ASIC-Hardware bei Line Rate mitigiert.

Warum In-Network-DDoS-Mitigation?

Scrubbing-Center erhöhen Latenz und Kosten. Hardwareseitig durchgesetztes Flowspec tut beides nicht.

Klassischer DDoS-Schutz leitet den gesamten Datenverkehr durch ein abseits liegendes Scrubbing-Center – das verursacht 10–50 ms zusätzliche Latenz pro Paket, selbst im Normalbetrieb, sowie Kosten pro Gbps für die Scrubbing-Kapazität. Dieses Modell ergab Sinn, als Angriffe selten und die Erkennung langsam war.

Heutige Angriffe sind schneller, größer und häufiger. OcNOS mit FastNetMon verlagert die Erkennungs- und Mitigationslogik direkt an den Netzwerk-Edge: sFlow/NetFlow-Telemetrie wird kontinuierlich von OcNOS an FastNetMon gestreamt; wird ein Angriff erkannt, pusht FastNetMon BGP-Flowspec-Regeln zurück an OcNOS; OcNOS installiert die Regeln in der ASIC-Hardware mit Line-Rate. Der gesamte Loop schließt sich in unter 2 Sekunden, und für sauberen Traffic entsteht keine zusätzliche Latenz.

Erkannte und abgewehrte Angriffstypen:

UDP-Amplification SYN-Flood TCP RST Flood ICMP-Flood DNS-Query-Flood NTP-Amplifikation Memcached-Reflection Volumetrische Bandbreitensättigung Angriff mit fragmentierten Paketen

FastNetMon-Integration: Produktive DDoS-Erkennungs-Engine

FastNetMon Advanced ist ein produktionsreifes DDoS-Detection-System, das von Hunderten ISPs und Hosting-Providern weltweit eingesetzt wird. Es konsumiert sFlow, NetFlow v5/v9, IPFIX und Port-Mirror-Traffic aus OcNOS und löst mit konfigurierbaren Thresholds pro Host und pro Subnetz automatische Mitigation-Aktionen aus.

BGP FlowSpec (RFC 8955): Chirurgisch präzise Traffic-Filterung

Angriffsverkehr nach Quell-/Ziel-IP, Protokoll, Port, Paketlänge, TCP-Flags, DSCP und Fragmenttyp abgleichen und filtern. Regeln werden per BGP verteilt und innerhalb von Millisekunden in der ASIC-Hardware installiert – Line-Rate-Filterung ohne CPU-Overhead. Treffende Pakete werden verworfen, rate-limited oder umgeleitet.

RTBH Blackholing: schneller, direkter Schutz

BGP-basiertes Blackholing für große volumetrische Angriffe. Kundenseitig getriggert oder automatisch via FastNetMon, wenn der Traffic zu einem Präfix einen Schwellwert überschreitet. RTBH-Routen propagieren zu Upstream-Peers und Transit Providern – Angriffs-Traffic wird gestoppt, bevor er Ihr Netzwerk erreicht.

sFlow & NetFlow-Telemetrie: kontinuierliche Traffic-Sichtbarkeit

OcNOS exportiert sFlow (RFC 3176), NetFlow v5/v9 und IPFIX von allen Edge-Interfaces: hardwarebeschleunigtes Sampling mit konfigurierbaren Sampling-Raten. Speist FastNetMon zur DDoS-Erkennung und gleichzeitig Kentik, PRTG, Prometheus oder beliebige Flow-Collector für Traffic-Analytics.

Hardware-ACL-Filterung: statisch, Blockierung ohne CPU-Last

ASIC-beschleunigte Access Control Lists zur dauerhaften Sperrung bekannter Bedrohungsakteure – spezifische IPs, Subnetze, Protokolle oder Ports. Rate Limiting pro Interface, pro VLAN oder pro Präfix. Einmal konfiguriert, dauerhaft in Hardware durchgesetzt, ohne Routing- oder Verarbeitungs-Overhead.

FastNetMon → OcNOS. automatisierte Reaktion ALARM
1. FastNetMon erkennt Anomalie über sFlow
ALARM UDP-Flood → 203.0.113.50
14 Gbps. Schwellenwert von 5 Gbps überschritten
2. FastNetMon überträgt BGP Flowspec an OcNOS
POST /api/flowspec/rule
match: dst 203.0.113.50/32 proto UDP
action: rate-limit 100Mbps
→ Regel im ASIC installiert: 0,8 s
3. OcNOS setzt es mit Line Rate in der Hardware durch
Flowspec-Regeln aktiv 14
Verworfen (Angriff) 2.4M pps
Ratenbegrenzt 180K pps
✓ sauberer Traffic passiert normal

FastNetMon: die Erkennungs-Engine

FastNetMon Advanced ist eine dedizierte DDoS-Detection-Engine, die von Hunderten ISPs weltweit eingesetzt wird. Sie integriert sich nativ mit OcNOS über BGP Flowspec und RTBH. Unterstützt sFlow, NetFlow und IPFIX mit konfigurierbaren Thresholds pro Host, pro Subnetz und pro Protokoll.

Mehr über FastNetMon erfahren →
<2s
Detect-to-Mitigate-Loop: von der sFlow-Anomalie zur Flowspec-Regel in der Hardware
0ms
Keine zusätzliche Latenz für sauberen Traffic – das Filtering läuft inline im ASIC, nicht in einem Off-Path-Scrubber
0%
CPU-Overhead für Hardware-ACL- und Flowspec-Enforcement: ASIC-beschleunigt
600+Betreiber-Deployments
60+Länder
26Jahre im Networking
Referenzarchitektur

In-Network-DDoS-Erkennung und -Abwehr: vollständige Topologie

Ein vollständiges Bild davon, wo jede Schutzschicht angesiedelt ist. Angriffstraffic aus dem Internet trifft auf die OcNOS-Edge-Router, wo sFlow-Telemetrie kontinuierlich FastNetMon speist. Wenn FastNetMon eine Anomalie erkennt, gibt es BGP Flowspec oder RTBH zurück an den Edge, in Millisekunden in ASIC-Hardware installiert. Auch Upstream-Peers können RTBH-Ankündigungen erhalten, um Angriffstraffic zu verwerfen, bevor er Ihr Netzwerk erreicht.

In-Network-DDoS-Schutztopologie mit OcNOS-Edge und FastNetMon Angriffsverkehr von Botnet-Quellen durchläuft einen Upstream-Peer zu zwei OcNOS-SP-Edge-Routern. Die Edge-Router exportieren sFlow- und NetFlow-Telemetrie an eine FastNetMon-Erkennungs-Engine. Wird ein Angriff erkannt, überträgt FastNetMon BGP-Flowspec- oder RTBH-Routen per BGP zurück an die Edge-Router und installiert die Regeln im ASIC für eine Filterung bei Line-Rate. Sauberer Verkehr gelangt weiterhin zum geschützten Kunden- oder Rechenzentrumsnetzwerk. Der Upstream-Peer kann zudem RTBH-Ankündigungen über BGP empfangen, um Angriffsverkehr zu verwerfen, bevor er in das geschützte Netzwerk eintritt. Attackers verteiltes Botnet 10–100 Gbps Kunden legitimer Traffic HTTP/DNS/SSH Transit-Peer eBGP / RTBH recv Tier-1-Internet RTBH-/32-Drops OcNOS Edge-01 UfiSpace S9600-72XC Qumran-AX · 4,8 Tbps ASIC HARDWARE Flowspec + ACL-Drop line-rate · 0% CPU OcNOS Edge-02 UfiSpace S9600-72XC ECMP-redundant ASIC Flowspec + ACL Angriff + clean FastNetMon Detection Engine sFlow + NetFlow Analyse < 1s Schwellenwert-Erkennung sFlow ↑ BGP Flowspec ↓ + RTBH RTBH über eBGP upstream propagiert → Geschützte Server DC / gehostete Infrastruktur nur sauberer Traffic · 0 ms zusätzlich Kundennetze Richtlinie pro Tenant verwalteter DDoS-Service clean ✓ Angriff verworfen DETECT-TO-MITIGATE LOOP 1. Anomalie erkannt FastNetMon: <1s 2. BGP-Flowspec-Push FNM → OcNOS: ~200ms 3. ASIC-Regel installiert OcNOS-Hardware: ~800 ms 4. Angriff bei Line Rate verworfen total loop: <2s · 0ms Clean-Traffic-Latenz
Angriffsverkehr
Sauberer Traffic
sFlow- / NetFlow-Telemetrie
BGP Flowspec / RTBH (Control Plane)
↳ über einen Knoten fahren für Plattform-, ASIC-, BGP- und Policy-Details
So funktioniert es

Von der Angriffserkennung bis zur Traffic-Blockierung: vier Schritte

Der gesamte Detect-to-Mitigate-Loop ist automatisiert. Nach der Konfiguration ist kein menschliches Eingreifen erforderlich, um einen Angriff zu stoppen.

1

Erfassen

OcNOS exportiert sFlow- und NetFlow-Telemetrie von allen Edge-Interfaces an FastNetMon. Hardwarebeschleunigtes Packet-Sampling: kein CPU-Overhead, kein Einfluss auf die Forwarding-Performance.

2

Erkennen

FastNetMon analysiert Flow-Daten gegen Thresholds pro Host und pro Subnetz. Es identifiziert volumetrische Floods, SYN-Storms, UDP-Amplification, DNS-Floods und NTP-Reflection-Angriffe – typischerweise in unter 1 Sekunde.

3

Signal

FastNetMon pusht automatisch BGP-Flowspec-Regeln (für chirurgische Mitigation) oder RTBH-Blackhole-Routen (für volumetrische Angriffe) via BGP an OcNOS. Vollständig automatisiert – kein Eingriff des Operators während des Angriffs erforderlich.

4

Eindämmen

OcNOS installiert Flowspec-Regeln oder RTBH-Routen direkt in der ASIC-Hardware. Angriffsverkehr wird bei voller Line Rate verworfen oder ratenbegrenzt. Legitimer Traffic läuft unbeeinträchtigt weiter. Die Regeln werden automatisch entfernt, sobald der Angriff abklingt.

Anwendungsfälle

Wo der DDoS-Schutz mit OcNOS eingeordnet ist

Der DDoS-Schutz von OcNOS funktioniert für jeden Betreiber, der Open Hardware am Netzwerk-Edge einsetzt, vom kleinen ISP bis zum großen Data-Center-Betreiber.

🌐

ISP- & SP-Edge-Schutz

Schützen Sie Peering-Edges und Transit-Links vor volumetrischen DDoS-Angriffen, die die kundenseitige Bandbreite sättigen würden. sFlow-Detection am Peering-Router mit automatischer BGP-Flowspec-Mitigation stoppt Floods, bevor sie Downstream-Kunden erreichen. Upstream-RTBH-Koordination mit Transit-Providern stoppt Angriffe, bevor sie in Ihr Netzwerk gelangen.

🏢

Data-Center-Perimeter

In-Line-DDoS-Filterung am DC-Border – schützt gehostete Infrastruktur und Cloud-Workloads. Statische Hardware-ACLs blockieren bekannte Angreifer dauerhaft. Dynamische Flowspec-Regeln passen sich neuen Angriffssignaturen in Echtzeit an. Kein Umleiten des Datenverkehrs zu einem Scrubbing-Center bedeutet null Latenzauswirkung für sauberen Traffic.

🛡️

Managed DDoS Protection Service

Betreiber können DDoS-Schutz pro Kunde als Managed Service anbieten und nach geschütztem Präfix abrechnen. FastNetMon unterstützt Schwellenwertprofile pro Kunde. OcNOS setzt Flowspec-Regeln pro Kunde durch. Keine gemeinsame Scrubbing-Infrastruktur: der Schutz jedes Kunden ist dediziert und im Netz.

Häufige Fragen

DDoS-Schutz mit OcNOS: FAQ

Was ist BGP Flowspec und wie nutzt OcNOS es zur DDoS-Mitigation?
BGP FlowSpec (RFC 8955, ursprünglich RFC 5575) ist eine BGP-Erweiterung, die granulare Verkehrsfilterregeln über Router hinweg verteilt, ähnlich dem Ausrollen von ACLs per BGP, jedoch mit feiner abgestuften Match-Bedingungen. OcNOS unterstützt Flowspec-Matching nach Source-IP, Destination-IP, Protokoll, Source-/Destination-Port, Paketlänge, TCP-Flags, DSCP und IP-Fragmenttyp. Erkennt FastNetMon einen Angriff, überträgt es Flowspec-Regeln innerhalb von Millisekunden per BGP an OcNOS. OcNOS installiert diese Regeln direkt in der ASIC-Hardware, wo sie passenden Verkehr bei voller Line-Rate verwerfen oder ratenbegrenzen, und das ohne CPU-Overhead.
Wie integriert sich FastNetMon mit OcNOS, und wie schnell ist die Reaktion?
FastNetMon empfängt sFlow-, NetFlow-v5/v9- oder IPFIX-Telemetrie von OcNOS-Schnittstellen und analysiert den Verkehr kontinuierlich gegen konfigurierbare Schwellenwerte pro Host und pro Subnetz. Überschreitet eine Anomalie den Schwellenwert, etwa ein UDP-Flood von mehr als 5 Gbps auf ein einzelnes Ziel, löst FastNetMon automatisch entweder eine BGP-Flowspec-Regel (für eine gezielte, protokollspezifische Mitigation) oder eine RTBH-Blackhole-Route (für vollständiges Präfix-Blackholing) per BGP an OcNOS aus. Die Schleife von der Erkennung bis zur Mitigation ist automatisiert und schließt typischerweise in unter 2 Sekunden ab.
Welche Arten von DDoS-Angriffen erkennt und entschärft diese Lösung?
FastNetMon mit OcNOS erkennt und entschärft die häufigsten DDoS-Angriffstypen: volumetrische Floods (UDP-Amplification, ICMP-Flood, reine Bandbreitensättigung), Protokollangriffe (SYN-Flood, TCP-RST-Flood, Angriffe mit fragmentierten Paketen) und durch Flow-Analyse erkennbare Angriffe auf der Anwendungsebene (DNS-Query-Floods, NTP-Amplification, Memcached-Amplification). BGP Flowspec kann auf Protokoll, Port, TCP-Flags und Fragmenttyp matchen, um eine präzise, chirurgisch genaue Entschärfung zu ermöglichen. Bei volumetrischen Angriffen, bei denen Geschwindigkeit wichtiger ist als Präzision, verwirft RTBH-Blackholing am Netzwerkrand den gesamten Traffic zum betroffenen Präfix.
Kann OcNOS DDoS-Mitigation ohne FastNetMon umsetzen?
Ja. OcNOS bietet drei unabhängige DDoS-Mitigationsmechanismen, die ohne FastNetMon funktionieren: statische Hardware-ACLs (ASIC-beschleunigt, ohne CPU-Overhead) zur dauerhaften Sperrung bekannter Angreifer, manuelles RTBH-Blackholing per BGP für vom Betreiber ausgelöstes Präfix-Blackholing sowie den Empfang von BGP-Flowspec-Regeln von jedem standardkonformen BGP-Speaker. Betreiber mit vorhandenen Erkennungsplattformen wie Arbor/Netscout, A10 Networks, Cloudflare Magic Transit oder Kentik können OcNOS als Enforcement-Plane einsetzen und Flowspec- oder RTBH-Befehle von ihrem bestehenden Erkennungssystem entgegennehmen.
Was ist RTBH-Blackholing und wann sollte ich es anstelle von Flowspec verwenden?
RTBH-Blackholing (Remotely Triggered Black Hole) funktioniert, indem das betroffene Ziel-Präfix per BGP mit einem Next-Hop angekündigt wird, der auf ein Discard-Interface zeigt. Alle Upstream-Router, die die RTBH-Ankündigung empfangen, verwerfen den gesamten für dieses Präfix bestimmten Traffic an ihrem Rand und stoppen so den Angriffs-Traffic, bevor er in Ihr Netzwerk gelangt. RTBH ist die richtige Wahl für hochvolumige, volumetrische Angriffe, bei denen das Stoppen des gesamten Traffics zu einem Ziel (einschließlich legitimen Traffics) akzeptabel ist, um den Rest des Netzwerks zu schützen. BGP Flowspec ist vorzuziehen, wenn Sie eine chirurgisch genaue Entschärfung benötigen: zum Beispiel das Blockieren ausschließlich von UDP-Port 53 zu einem Ziel, während TCP-Traffic durchgelassen wird. In der Praxis beginnen Betreiber oft mit RTBH wegen der Geschwindigkeit und wechseln zu Flowspec für Präzision, sobald der Angriff charakterisiert ist.
Ersetzt In-Network-DDoS-Mitigation mit OcNOS ein Scrubbing-Center?
Die netzinterne Entschärfung ergänzt oder ersetzt je nach Angriffstyp und -umfang teilweise Scrubbing-Center. Bei volumetrischen Angriffen, die auf Ihre eigenen Präfixe zielen, bietet OcNOS mit FastNetMon eine schnellere Reaktion (unter 2 Sekunden) zu geringeren Kosten als das Routen des Traffics durch ein Scrubbing-Center, da die Filterung inline am Netzwerkrand in Hardware-ASICs erfolgt. Bei sehr großen Angriffen, die Upstream-Links sättigen, bevor sie Ihre Router erreichen, ist Upstream-RTBH mit Ihren Transit-Providern in Kombination mit netzinternem Flowspec der effektivste Ansatz. Managed-DDoS-Service-Provider können OcNOS zudem als kundenspezifische Enforcement-Plane für kundenspezifische Flowspec-Regeln und Schwellenwerte einsetzen.
Schutz aktivieren

Schützen Sie Ihr Netzwerk auf Open Hardware.

Wir gehen Ihre Topologie, Ihr Bedrohungsmodell und die richtige Flowspec- und RTBH-Konfiguration für Ihre Umgebung durch.

DDoS-Demo buchen OcNOS-VM herunterladen