Leistungsfähigster und gut vernetzter Backbone bringt nicht nur Gutes – über die vielen externen Anbindungen erreicht auch schädlicher Verkehr unser Netz.

Während wir der Netzneutralität verpflichtet sind und in den Verkehrsfluss üblicherweise nicht eingreifen, haben wir allerdings Vorkehrungen zur Wahrung der eigenen Netzintegrität getroffen und bieten dDoS-Mitigation auch als Dienstleistung für unsere Kunden an.

Das umfasst eine Vielzahl von Maßnahmen, die sich zum Teil auf spezialisierte Hardware, aber auch spezielles Netzwerkdesign und Austausch von Verkehrssteuerungsinformationen mit den Netzwerkpartnern an den Exchanges abstützen.

Die eher brutale Lösung des Blackholing (RTBH), bei der Verkehr zu einem attackierten Server eines Kunden vorzeitig verworfen wird, um seine anderen Server funktionsfähig zu erhalten, ist dabei nur die letzte Möglichkeit.

Die IETF hat da feinere Skalpelle in Entwicklung, bei der Informationen darüber, welcher Verkehr verworfen werden soll, über Netzgrenzen hinweg transportiert werden – eine davon ist die FlowSpecExtension von BGP (BGP FlowSpec).

Interoperabilität zwischen verschiedenen Herstellern ist hier ein besonders kritisches Thema und wir freuen uns, dass auch einer der Kollegen aus unserem Engineering-Team an dieser Entwicklung mitarbeitet, sowohl an einem IETF Draft wie auch in Interoperability Labs zusammen mit anderen Providern.

Bei den kommenden Peering-Days in Laibach wird Christoph Loibl dazu berichten – sein BGP FlowSpec Interop Paper findet sich hier.