Anti-DDoS >


OVH's anti-DDoS bescherming




Wat is anti-DDoS protectie?



Hoe een DDoS-aanval in zijn werk gaat


De kansen om te worden geconfronteerd met een DDoS-aanval zijn groot en pogingen zijn talrijk.


Een DDoS-aanval heeft als doel om een server, een dienst of infrastructuur onbeschikbaar te maken door overbelasting van de bandbreedte van de server, of door het monopoliseren van resources totdat deze uitgeput zijn.


Bij een DDoS-aanval, wordt een groot aantal verzoeken gelijktijdig verzonden vanaf meerdere punten van het internet. De intensiteit van dit "crossfire" maakt de dienst instabiel, of erger, onbeschikbaar.



Wat wij bieden om uw diensten te beschermen



Om uw servers en diensten tegen aanvallen te beschermen, biedt OVH een mitigatie solution op basis van de VAC-technologie. Dit is een exclusieve combinatie van technieken:


  • Analyseren van alle packets in real-time en met hoge snelheid;
  • Wegtrekken van inkomend verkeer naar uw server;
  • Mitigeren, dit betekent het sorteren van alle ongewenste IP packets, terwijl legitieme IP packets doorgelaten worden.


Doelen en soorten aanvallen



Om uw site, server of infrastructuur onbeschikbaar te maken, zijn er drie strategieën:


  • Bandbreedte: type aanval dat de netwerkserver-capaciteit overbelast, waardoor het onbereikbaar wordt.
  • Resources: type aanval bestaande uit het uitputten van het Resources-systeem van het systeem wat voorkomt dat het reageert op legitieme verzoeken.
  • Exploiteren van een besturingssoftware fout: Ook wel "exploit" genoemd, dit type aanval valt een specifieke software-fout aan om uw machine onbeschikbaar te maken, of de controle over te nemen.


Naam van de aanval OSI Layer Aanvalstype Uitleg van het aanvalsprincipe
ICMP Echo Request Flood L3 Resources Ook wel Ping Flood genaamd, het massaal verzenden van packets (ping) waarbij de reactie van het slachtoffer wordt omvat (pong), die dezelfde inhoud heeft als het oorspronkelijke packet.
IP Packet Fragment Attack L3 Resources Het verzenden van IP packets die doelbewust verwijzen naar andere packets die nooit zullen worden verstuurd, waardoor het geheugen van het slachtoffer overbelast wordt.
SMURF L3 Bandbreedte Een ICMP broadcast aanval overweldigt het bronadres om veelvuldige responsen om te leiden naar het slachtoffer
IGMP Flood L3 Resources Het massaal versturen van IGMP packets (multicast Management Protocol)
Ping of Death L3 Exploiteren Het verzenden van ICMP packets die een implementatie-bug exploiteren in sommige besturingssystemen
TCP SYN Flood L4 Resources Het massaal verzenden van TCP-verbindingsaanvragen
TCP Spoofed SYN Flood L4 Resources Het massaal verzenden van TCP-verbindingen om het bronadres te overweldigen
TCP SYN ACK Reflection Flood L4 Bandbreedte Het massaal verzenden van TCP-verbindingsverzoeken naar een groot aantal machines, die het bronadres van het slachtoffer overweldigt. De bandbreedte zal worden overbelast met de antwoorden op deze verzoeken.
TCP ACK Flood L4 Resources Massale verzending van TCP-segment ontvangstbevestigingen
Gefragmenteerde TCP aanval L4 Resources Het verzenden van TCP-segmenten die vrijwillig verwijzen naar andere segmenten die nooit zullen worden verstuurd, waardoor het geheugen overbelast wordt
UDP Flood L4 Bandbreedte Massale verzending van UDP packets (waarvoor geen voorafgaande verbinding is vereist)
UDP Fragment Flood L4 Resources Het verzenden van UDP datagrammen die doelbewust verwijzen naar andere datagrammen die nooit zullen worden verstuurd, waardoor het geheugen wordt overbelast
Distributed DNS Amplification Attack L7 Bandbreedte Het massaal verzenden van DNS-verzoeken naar een ​​groot aantal legitieme servers, die het bronadres van het slachtoffer overweldigen. Als de beantwoording groter is dan de vraag, volgt een amplificatie van de aanval.
DNS Flood L7 Resources Aanval op een DNS-server door het massaal versturen van verzoeken
HTTP(S) GET/POST Flood L7 Resources Aanval op een webserver door het massaal versturen van verzoeken
DDoS DNS L7 Resources Aanval op een DNS-server door het massaal versturen van verzoeken vanaf talloze machines, gecontroleerd door de aanvaller