DDoS-aanvallen beheer: Fases

De vier fases in het beheren van een aanval:

1) De server is operationeel- zonder aanval.
De diensten kunnen zonder problemen gebruikt worden via het internet.
De traffic gaat door de backbone van ons netwerk naar het datacenter.
Uiteindelijk wordt het verwerkt door de server, die de respons over het internet terugstuurt.

2) De DDoS-aanval begint.
De aanval wordt gelanceerd vanaf het internet en bereikt de backbone.
Gezien de overcapaciteit bandbreedte op de backbone, provoceert de aanval geen overbelasting op een link.
De aanval bereikte de server, die begint het begin van de aanval af te weren.
Op hetzelfde moment, detecteert een analyse van de traffic dat een aanval aan de gang is en initieert daarmee de mitigatie.

3) Mitigatie van de aanval.
Tussen 15 tot 120 seconden nadat de aanval begon, wordt de mitigatie geactiveerd.
Inkomende traffic naar de server wordt weggetrokken door de drie VAC's, met een totale mitigatie-capaciteit van 480 Gbps (3x 160 Gbps), hosted in drie datacenters.
De aanval wordt geblokkeerd zonder tijdslimiet, geen limiet voor de grootte en ongeacht het type.
Legitiem verkeer gaat door de VAC om uiteindelijk bij de server te komen.
De server reageert direct zonder hernieuwde tussenkomst van de VAC.
Dit proces heet auto-mitigatie.

4) Einde van de aanval.
Het genereren van een aanval is duur, vooral wanneer deze niet effectief is.
Na een tijdje, zal deze gestaakt worden. Auto-mitigatie zal 26 uur gehandhaafd blijven, nadat de aanval beëindigd is.
Dit betekent dat elke nieuwe aanval die binnen een paar minuten, uren of 24 uur plaatsvindt, wordt geblokkeerd.
Na 26 uur wordt de auto-mitigatie uitgeschakeld, maar het blijft gereed staan om geheractiveerd te worden bij de detectie van een nieuwe aanval.