WanGuard DDoS-Erkennung & -Mitigation – bereitgestellt und optimiert von ITORO
WanGuard von Andrisoft ist ein Anti-DDoS-System in Carrier-Grade-Qualität, das Angriffe in Sekunden erkennt und mit BGP FlowSpec, RTBH-Blackholing mitigiert oder hypervolumetrische DDoS-Angriffe an ein Scrubbing-Center umleitet. Als Andrisoft Gold Partner installiert, optimiert und betreibt ITORO es für ISPs / DCs und Unternehmen weltweit.
Ab etwa 65 s sind die Uplinks gesättigt – bis dahin haben die Nutzer den Zugriff bereits verloren. Geschwindigkeit ist alles.
Eine komplette DDoS-Schutzplattform
WanGuard vereint Hochgeschwindigkeits-Traffic-Monitoring, Anomalieerkennung und automatisierte Mitigation in einem On-Premise-System, das Sie vollständig kontrollieren. Wir können Mitigation von Drittanbietern aktivieren, etwa Scrubbing-Center-Failover, Web Application Firewall (WAF)-Schutz oder weitere Ebenen, um mehrschichtigen Schutz aufzubauen.
WanGuard Sensor
Erfasst port-gespiegelte Pakete oder NetFlow/sFlow, erstellt Traffic-Baselines pro IP und erkennt volumetrische und Protokoll-Angriffe in unter 5 Sekunden.
WanGuard Filter / WanFilter
Die DPDK-beschleunigte Paketfilterung bereinigt nur den bösartigen Traffic – skaliert von 1 Gbit/s auf 800 Gbit/s pro Sensor-Port, ohne sauberen Traffic zu verwerfen.
WanGuard Console
Zentrale Verwaltung, Dashboards, Reporting und Alerting mit langfristiger sFlow/IPFIX/NetFlow-Analyse und Kapazitätsplanung.
Schnelle Reaktion
FlowSpec verteilt Filterregeln netzwerkweit in Sekunden und stoppt Angriffe, bevor sie ihre Ziele erreichen.
Präzise Filterung
Regeln zielen anhand von IP, Protokoll, Port und Paketmerkmalen auf bösartigen Traffic – legitimer Traffic passiert ungehindert.
Läuft auf Ihren Routern
Nutzt vorhandene BGP-fähige Router (Cisco, Juniper, Arista, Huawei, Nokia) – keine dedizierte Appliance erforderlich.
Skalierbar
Global oder auf ausgewählte Netzwerksegmente angewendet; skaliert mit Ihrer bestehenden BGP-Infrastruktur.
Bereitstellung ohne Ausfallzeit
ITORO stellt BGP FlowSpec ohne Wartungsfenster bereit – keine Serviceunterbrechung während der Installation.
Geringere Kosten
Nutzt Ihre Router anstelle dedizierter DDoS-Hardware und senkt die Gesamtbetriebskosten.
Entwickelt für die Angriffe, die ISPs tatsächlich erleben
WanGuard, von ITORO optimiert, schützt vor dem gesamten Spektrum volumetrischer und Protokoll-DDoS-Angriffe – die folgenden Kategorien decken die überwiegende Mehrheit realer Vorfälle ab.
Volumetrische Floods
Hochratige UDP-, ICMP- und IP-Floods, die versuchen, Ihre Uplinks zu sättigen.
Amplifikation / Reflexion
NTP, DNS, CLDAP, CHARGEN, SSDP, memcached, SNMP und ähnliche Reflexionsvektoren.
Carpet-Bomb
Angriffe, die über viele Ziel-IPs in einem Präfix verteilt sind – pro IP erkannt, nicht nur pro Dienst.
Fragmentierung
IP/UDP-Fragment-Floods, die darauf ausgelegt sind, an sampling-basierten Flow-Systemen vorbeizukommen.
TCP-State-Exhaustion
SYN-, ACK- und Connection-Flood-Angriffe gegen zustandsbehaftete Geräte.
DNS & Anwendungsschicht
DNS-Query-Floods werden mitigiert (DNS-Sicherheit über DNSdist). Angriffe auf Anwendungsebene (L7) verwerfen oder drosseln wir, anstatt sie vollständig zu stoppen – WanGuard ist eine volumetrische L3/L4-Mitigation, keine Web Application Firewall.
RTBH, BGP FlowSpec und WanFilter – das richtige Werkzeug für jeden Angriff
BGP-FlowSpec-Filterung
Granulare Filterung mit Hardware-Geschwindigkeit, direkt an Cisco/Juniper/Arista-Line-Cards gepusht – verwirft nur Angriffs-Traffic und hält den Dienst online.
RTBH-Blackholing
Remotely Triggered Black Hole verwirft den gesamten Traffic zu einer angegriffenen IP bei Ihren Upstreams – die Rückfalloption, wenn ein Angriff zu groß für granulare Filterung ist.
WanFilter-Scrubbing
Chirurgisches DPDK-Paket-Scrubbing, bereitgestellt inline oder als Off-Ramp-Filter. Setzen Sie es ein, wenn Ihre Router kein BGP FlowSpec unterstützen, oder als zusätzliche Filterebene über FlowSpec – um bestimmte Dienste zu schützen, anstatt die gesamte IP zu blackholen.
Mehrschichtige Automatisierung
Zuerst FlowSpec/WanFilter, RTBH als Rückfalloption, wenn sich die Uplinks der Sättigung nähern – vollautomatisch, mit Alerts an Ihr NOC.
Mitigation hat Grenzen – und wir sind ehrlich darüber
Die Kapazität Ihres Uplinks ist die absolute Obergrenze – wir können nicht mehr filtern, als die Leitung transportiert.
Was wir mitigieren
- Alles, worauf WanGuard + Juniper MX reagieren können – innerhalb der Bandbreite Ihres Uplinks.
- Dauerhaft aktive, zustandslose MX-Filterung: Anti-Spoofing, Anti-Amplification, Rate-Limits, CoPP.
- Dynamisches BGP FlowSpec und RTBH werden aktiviert, sobald ein Angriff erkannt wird.
- Granulare Filterung hält Ihren Kunden online – RTBH nur als letztes Mittel.
Wo wir eskalieren – ehrlich
- Die Mitigation ist durch die Uplink-Kapazität begrenzt – wir können nicht mehr filtern, als die Leitung transportiert.
- BGP FlowSpec blockiert nur, was eine Regel ausdrücken kann – einige randomisierte oder adaptive Floods lassen sich nicht filtern.
- Wenn der Traffic Ihren Uplink übersteigt oder nicht gefiltert werden kann, eskalieren wir zu einem externen Scrubbing-Center im Terabit-Bereich.
- Wir sagen Ihnen von vornherein, was wir nicht blockieren können – das ist die Marke, kein Haftungsausschluss.
Ein Andrisoft Gold Partner, der WanGuard täglich betreibt
- Komplette Installation, BIOS/OS/NIC-Tuning und Mitarbeiterschulung.
- Realistische Schwellenwerte pro IP, die Angriffe ohne Fehlalarme erkennen.
- BGP, RTBH und FlowSpec konfiguriert auf Ihren Routern und Upstreams.
- Managed Support ist immer Teil der Bereitstellung – von NBD-E-Mail-Abdeckung bis zur vollständig ausgelagerten Administration. Das erste Jahr ist im Produkt enthalten.
Bereitstellung, von Anfang bis Ende
Die genauen Schritte, die ITORO durchführt, um Sie von leeren Servern zu einer optimierten, produktiven WanGuard-Bereitstellung zu bringen.
Transparent, ab 2.500 € einmalig
Zwei Standardszenarien decken die meisten Bereitstellungen ab. Einmalige Bereitstellung (der erste Server umfasst Installation, Schulung und einen Monat Feinabstimmung); WanGuard-Lizenzen sind jährlich. Erstellen Sie ein vollständig aufgeschlüsseltes Angebot im Kalkulator.
Nur RTBH – der schnellste und günstigste Weg, volumetrische Angriffe durch Blackholing des Ziels zu stoppen.
- Port-Mirror-Sensor 2×10GE, Erkennung <5 s
- BGP RTBH auf Ihren Routern/Upstreams
- Mitigation nur per Blackhole
RTBH + BGP FlowSpec – granulare Filterung, die den Dienst online hält, mit RTBH als Rückfalloption.
- Alles aus Szenario 1
- Granulare BGP-FlowSpec-Filterung + WanFilter
- Skaliert auf 40/100/400GE-Sensoren
Häufige Fragen
Ist WanGuard besser als Cloud-DDoS-Schutz?
WanGuard läuft on-premise: Der Traffic verlässt niemals Ihr Netzwerk, die Erkennung ist schneller und die Kosten sind vorhersehbar. Es ergänzt Upstream-Cloud-Scrubbing bei sehr großen volumetrischen Angriffen.
Wie schnell erkennt WanGuard einen DDoS-Angriff?
Mit Port-Mirror-Erkennung typischerweise 2 bis 5 Sekunden; mit NetFlow/sFlow 35 bis 95 Sekunden, je nach Export-Intervallen.
Welche Hardware benötige ich?
Ein BGP-fähiger Router, ein Switch oder Router, der Flows exportieren (sFlow, NetFlow, IPFIX) oder Traffic spiegeln kann, und – für einen Port-Mirror-Sensor – ein Server, der auf die zu spiegelnde Portgeschwindigkeit ausgelegt ist, von 1 bis 400 Gbit/s. ITORO empfiehlt die genaue Spezifikation.
Kann ITORO WanGuard für uns betreiben?
Ja – unsere Support-Stufen Gold/Platinum umfassen Monitoring, Schwellenwert-Tuning, Änderungen und sogar die vollständige Administration.
Sollten wir inline oder out-of-band bereitstellen?
Unsere bevorzugte Methode ist Out-of-Band (Off-Ramp) mit einer Filter-VRF – Erkennung und Scrubbing liegen niemals dauerhaft im Datenpfad, es kann also nichts ausfallen. Ein Inline-Filter wird ebenfalls unterstützt, hat aber einen Nachteil: Wird er in einer Bridge oder direkt im Datenpfad platziert, kann ein Neustart oder Serviceereignis den Traffic kurzzeitig beeinträchtigen. Off-Ramp-Filterung vermeidet das vollständig.
Wie lange dauert die Bereitstellung?
Ein erster Server umfasst Installation, BIOS/OS/NIC-Tuning, Schulung und einen Monat Feinabstimmung. In der Praxis gehen die meisten Bereitstellungen in ein bis zwei Wochen live – vorausgesetzt, Ausrüstung, Server und BGP sind bereit und Ihr Team hat Zeit für die Schulung. Wir können auch bereitstellen, während Sie sich unter aktivem Angriff befinden; das bedeutet manchmal, den Schutz über einen alternativen Datenpfad (zum Beispiel eine Mobilfunkverbindung) aufzubauen, um das angegriffene Rechenzentrum oder den ISP zu erreichen.
Wie geht es mit verschlüsselten (TLS-)Angriffen um?
TLS-Angriffe finden auf Layer 7 statt. WanGuard arbeitet auf Layer 3/4 – BGP FlowSpec, RTBH-Blackholing und Edge-FlowSpec – und inspiziert ohne installierte Zertifikate keine verschlüsselten Payloads. Es ist keine Web Application Firewall; es ist eine Software zur volumetrischen DDoS-Mitigation, die den Flood anhand des Traffic-Verhaltens (Rate, Quellen, Paketmerkmale) absorbiert.
Lässt es sich in unsere bestehende Infrastruktur integrieren?
Ja. WanGuard steuert Ihre vorhandenen BGP-fähigen Router (Juniper, Cisco, Arista, Huawei, Nokia) – kein kompletter Austausch nötig. Ein Juniper MX ist ein hervorragendes Always-On-Filter-Gateway mit Line-Rate, und die Streaming-Telemetrie von Juniper speist Grafana für die Sichtbarkeit – beide als Zusatzprodukte in unserem Portfolio verfügbar.
Kann es mit wachsender Bandbreite mitskalieren?
Sensoren skalieren von 2×10GE bis 400GE pro Server, Sie können Sensoren und POPs hinzufügen, und die Flow/sFlow-Erkennung skaliert über viele Router bis in den Terabit-Bereich. Die Mitigation über BGP FlowSpec läuft mit der Line-Rate Ihrer Router.
Wie sind die Kosten im Vergleich zum Cloud-Scrubbing?
WanGuard ist eine einmalige Bereitstellung plus jährliche Lizenzen und optionaler Support – keine Scrubbing-Gebühren pro Gbit/s, die mit der Angriffsgröße in die Höhe schnellen. Die Kosten sind vorhersehbar, und Ihr Traffic verlässt niemals Ihr Netzwerk.
Welche Sichtbarkeit erhalten wir über Angriffs-Alerts hinaus?
Live-Dashboards, Berichte pro Vorfall und Langzeitanalysen – plus optionale Juniper-MX-Telemetrie in Grafana für Echtzeit-Ansichten von Edge und Mitigation, die Ihr NOC während eines Angriffs beobachten kann. Das regulatorische (NIS2-)Reporting wird im Rahmen des ITORO-Notfallpakets auf die Anforderungen Ihres Landes zugeschnitten und mit dem Vertrieb abgestimmt.
Welche Arten von DDoS-Angriffen kann es stoppen?
Volumetrische Floods (UDP/ICMP), Amplifikation/Reflexion (NTP, DNS, CLDAP, memcached und mehr), Carpet-Bomb, Fragmentierung, TCP-State-Exhaustion (SYN) und DNS-Floods. Traffic auf Anwendungsebene (L7) wird verworfen oder gedrosselt, statt vollständig gestoppt zu werden. Für weitere Informationen kontaktieren Sie den Vertrieb.
Bereit, DDoS-Angriffe zu stoppen, bevor sie eintreffen?
Erhalten Sie eine WanGuard-Bereitstellung, die auf Ihr Netzwerk zugeschnitten und optimiert ist.
ITORO kontaktieren