Anti-DDoS >


Analyse van een DDoS aanval




De data analyse en de detectie van aanvallen



Ontdekken van de aanval



Om de aanval te detecteren, gebruiken we de netflow die wordt gestuurd door routers en is geanalyseerd door Arbor Peakflow boxes. Elke router stuurt een samenvatting van 1/2000 van de traffic dat de router daadwerkelijk doorleidt. De Arbor Peakflow boxes analyseren dit en vergelijken het met de aanval signatures. Als de vergelijking positief is, wordt mitigatie geactiveerd in een paar seconden.

De geanalyseerde signatures zijn gebaseerd op traffic drempels in "packet per seconde" (pps, Kpps, Mpps, Gpps) of "bytes per seconde" (bps, Kbps, Mbps, Gbps) of op bepaalde packet types zoals:


  • DNS;
  • ICMP;
  • IP-fragment;
  • IP NULL;
  • IP Private;
  • TCP NULL;
  • TCP RST;
  • TCP SYN;
  • UDP;
  • Het totale data traffic

Aangezien het noodzakelijk is dat bepaalde drempelwaarden worden geactiveerd en slechts 1/2000 van het eigenlijke verkeer geanalyseerd wordt, kan het instellen van de mitigatie tussen 15 en 120 seconden liggen.