Erkennen und stoppen Sie DDoS-Angriffe in weniger als 2 Sekunden. In Ihrem eigenen Netzwerk.
OcNOS mit FastNetMon ermöglicht automatisierte DDoS-Erkennung und -Mitigation direkt am Netzwerk-Edge: ohne Scrubbing-Center, ohne Cloud-Umleitung, ohne zusätzliche Latenz. Angriffe werden über sFlow-/NetFlow-Telemetrie erkannt und in ASIC-Hardware bei Line Rate mitigiert.
Erkennung bis Mitigation in Sekunden.
Das Architecture Brief und die Deployment App Note: das High-Level-Bild plus die Schritt-für-Schritt-Konfiguration für BGP Flowspec und RTBH auf OcNOS mit FastNetMon.
Kostengünstige automatisierte DDoS-Abwehr: OcNOS + FastNetMon
BGP Flowspec und RTBH auf OcNOS mit FastNetMon-Integration: von der Erkennung bis zur Mitigation in Sekunden, dimensioniert für regionale und Enterprise-Netzwerke.
Brief anfordernAutomatisierte DDoS-Mitigation: Deployment Guide
Schritt-für-Schritt-Konfiguration: BGP-Flowspec-Policies, RTBH-Triggering, FastNetMon-Integration mit OcNOS, die einsatzbereite Referenz.
Application Note erhaltenScrubbing-Center erhöhen Latenz und Kosten. Hardwareseitig durchgesetztes Flowspec tut beides nicht.
Klassischer DDoS-Schutz leitet den gesamten Datenverkehr durch ein abseits liegendes Scrubbing-Center – das verursacht 10–50 ms zusätzliche Latenz pro Paket, selbst im Normalbetrieb, sowie Kosten pro Gbps für die Scrubbing-Kapazität. Dieses Modell ergab Sinn, als Angriffe selten und die Erkennung langsam war.
Heutige Angriffe sind schneller, größer und häufiger. OcNOS mit FastNetMon verlagert die Erkennungs- und Mitigationslogik direkt an den Netzwerk-Edge: sFlow/NetFlow-Telemetrie wird kontinuierlich von OcNOS an FastNetMon gestreamt; wird ein Angriff erkannt, pusht FastNetMon BGP-Flowspec-Regeln zurück an OcNOS; OcNOS installiert die Regeln in der ASIC-Hardware mit Line-Rate. Der gesamte Loop schließt sich in unter 2 Sekunden, und für sauberen Traffic entsteht keine zusätzliche Latenz.
Erkannte und abgewehrte Angriffstypen:
FastNetMon-Integration: Produktive DDoS-Erkennungs-Engine
FastNetMon Advanced ist ein produktionsreifes DDoS-Detection-System, das von Hunderten ISPs und Hosting-Providern weltweit eingesetzt wird. Es konsumiert sFlow, NetFlow v5/v9, IPFIX und Port-Mirror-Traffic aus OcNOS und löst mit konfigurierbaren Thresholds pro Host und pro Subnetz automatische Mitigation-Aktionen aus.
BGP FlowSpec (RFC 8955): Chirurgisch präzise Traffic-Filterung
Angriffsverkehr nach Quell-/Ziel-IP, Protokoll, Port, Paketlänge, TCP-Flags, DSCP und Fragmenttyp abgleichen und filtern. Regeln werden per BGP verteilt und innerhalb von Millisekunden in der ASIC-Hardware installiert – Line-Rate-Filterung ohne CPU-Overhead. Treffende Pakete werden verworfen, rate-limited oder umgeleitet.
RTBH Blackholing: schneller, direkter Schutz
BGP-basiertes Blackholing für große volumetrische Angriffe. Kundenseitig getriggert oder automatisch via FastNetMon, wenn der Traffic zu einem Präfix einen Schwellwert überschreitet. RTBH-Routen propagieren zu Upstream-Peers und Transit Providern – Angriffs-Traffic wird gestoppt, bevor er Ihr Netzwerk erreicht.
sFlow & NetFlow-Telemetrie: kontinuierliche Traffic-Sichtbarkeit
OcNOS exportiert sFlow (RFC 3176), NetFlow v5/v9 und IPFIX von allen Edge-Interfaces: hardwarebeschleunigtes Sampling mit konfigurierbaren Sampling-Raten. Speist FastNetMon zur DDoS-Erkennung und gleichzeitig Kentik, PRTG, Prometheus oder beliebige Flow-Collector für Traffic-Analytics.
Hardware-ACL-Filterung: statisch, Blockierung ohne CPU-Last
ASIC-beschleunigte Access Control Lists zur dauerhaften Sperrung bekannter Bedrohungsakteure – spezifische IPs, Subnetze, Protokolle oder Ports. Rate Limiting pro Interface, pro VLAN oder pro Präfix. Einmal konfiguriert, dauerhaft in Hardware durchgesetzt, ohne Routing- oder Verarbeitungs-Overhead.
FastNetMon: die Erkennungs-Engine
FastNetMon Advanced ist eine dedizierte DDoS-Detection-Engine, die von Hunderten ISPs weltweit eingesetzt wird. Sie integriert sich nativ mit OcNOS über BGP Flowspec und RTBH. Unterstützt sFlow, NetFlow und IPFIX mit konfigurierbaren Thresholds pro Host, pro Subnetz und pro Protokoll.
Mehr über FastNetMon erfahren →In-Network-DDoS-Erkennung und -Abwehr: vollständige Topologie
Ein vollständiges Bild davon, wo jede Schutzschicht angesiedelt ist. Angriffstraffic aus dem Internet trifft auf die OcNOS-Edge-Router, wo sFlow-Telemetrie kontinuierlich FastNetMon speist. Wenn FastNetMon eine Anomalie erkennt, gibt es BGP Flowspec oder RTBH zurück an den Edge, in Millisekunden in ASIC-Hardware installiert. Auch Upstream-Peers können RTBH-Ankündigungen erhalten, um Angriffstraffic zu verwerfen, bevor er Ihr Netzwerk erreicht.
Von der Angriffserkennung bis zur Traffic-Blockierung: vier Schritte
Der gesamte Detect-to-Mitigate-Loop ist automatisiert. Nach der Konfiguration ist kein menschliches Eingreifen erforderlich, um einen Angriff zu stoppen.
Erfassen
OcNOS exportiert sFlow- und NetFlow-Telemetrie von allen Edge-Interfaces an FastNetMon. Hardwarebeschleunigtes Packet-Sampling: kein CPU-Overhead, kein Einfluss auf die Forwarding-Performance.
Erkennen
FastNetMon analysiert Flow-Daten gegen Thresholds pro Host und pro Subnetz. Es identifiziert volumetrische Floods, SYN-Storms, UDP-Amplification, DNS-Floods und NTP-Reflection-Angriffe – typischerweise in unter 1 Sekunde.
Signal
FastNetMon pusht automatisch BGP-Flowspec-Regeln (für chirurgische Mitigation) oder RTBH-Blackhole-Routen (für volumetrische Angriffe) via BGP an OcNOS. Vollständig automatisiert – kein Eingriff des Operators während des Angriffs erforderlich.
Eindämmen
OcNOS installiert Flowspec-Regeln oder RTBH-Routen direkt in der ASIC-Hardware. Angriffsverkehr wird bei voller Line Rate verworfen oder ratenbegrenzt. Legitimer Traffic läuft unbeeinträchtigt weiter. Die Regeln werden automatisch entfernt, sobald der Angriff abklingt.
Wo der DDoS-Schutz mit OcNOS eingeordnet ist
Der DDoS-Schutz von OcNOS funktioniert für jeden Betreiber, der Open Hardware am Netzwerk-Edge einsetzt, vom kleinen ISP bis zum großen Data-Center-Betreiber.
ISP- & SP-Edge-Schutz
Schützen Sie Peering-Edges und Transit-Links vor volumetrischen DDoS-Angriffen, die die kundenseitige Bandbreite sättigen würden. sFlow-Detection am Peering-Router mit automatischer BGP-Flowspec-Mitigation stoppt Floods, bevor sie Downstream-Kunden erreichen. Upstream-RTBH-Koordination mit Transit-Providern stoppt Angriffe, bevor sie in Ihr Netzwerk gelangen.
Data-Center-Perimeter
In-Line-DDoS-Filterung am DC-Border – schützt gehostete Infrastruktur und Cloud-Workloads. Statische Hardware-ACLs blockieren bekannte Angreifer dauerhaft. Dynamische Flowspec-Regeln passen sich neuen Angriffssignaturen in Echtzeit an. Kein Umleiten des Datenverkehrs zu einem Scrubbing-Center bedeutet null Latenzauswirkung für sauberen Traffic.
Managed DDoS Protection Service
Betreiber können DDoS-Schutz pro Kunde als Managed Service anbieten und nach geschütztem Präfix abrechnen. FastNetMon unterstützt Schwellenwertprofile pro Kunde. OcNOS setzt Flowspec-Regeln pro Kunde durch. Keine gemeinsame Scrubbing-Infrastruktur: der Schutz jedes Kunden ist dediziert und im Netz.
DDoS-Schutz mit OcNOS: FAQ
Schützen Sie Ihr Netzwerk auf Open Hardware.
Wir gehen Ihre Topologie, Ihr Bedrohungsmodell und die richtige Flowspec- und RTBH-Konfiguration für Ihre Umgebung durch.
Kostengünstige automatisierte DDoS-Abwehr: OcNOS + FastNetMon
Kurzes Formular. Ihr PDF wird unmittelbar nach dem Absenden heruntergeladen.
✓ Ihr PDF wird in einem neuen Tab geöffnet…
Falls es sich nicht geöffnet hat, nutzen Sie den untenstehenden Link.
solution-brief-automated-ocnos-fastnetmon-ddos-defense.pdfAutomatisierte DDoS-Mitigation: OcNOS + FastNetMon Deployment Guide
Kurzes Formular. Ihr PDF wird unmittelbar nach dem Absenden heruntergeladen.
✓ Ihr PDF wird in einem neuen Tab geöffnet…
Falls es sich nicht geöffnet hat, nutzen Sie den untenstehenden Link.
Application-Note-Automated-DDoS-Mitigation-with-OcNOS-and-FastNetMon.pdf