WanGuard Anti-DDoS

WanGuard DDoS-Erkennung & -Mitigation – bereitgestellt und optimiert von ITORO

WanGuard von Andrisoft ist ein Anti-DDoS-System in Carrier-Grade-Qualität, das Angriffe in Sekunden erkennt und mit BGP FlowSpec, RTBH-Blackholing mitigiert oder hypervolumetrische DDoS-Angriffe an ein Scrubbing-Center umleitet. Als Andrisoft Gold Partner installiert, optimiert und betreibt ITORO es für ISPs / DCs und Unternehmen weltweit.

2–5s
Port-Mirror-Erkennung
Mirror-basiert, DPDK
15–30s
End-to-End-Mitigation
RTBH / FlowSpec, optimiert
35–95s
Andere Systeme
sFlow / NetFlow / IPFIX

Ab etwa 65 s sind die Uplinks gesättigt – bis dahin haben die Nutzer den Zugriff bereits verloren. Geschwindigkeit ist alles.

Preise ansehen Sprechen Sie mit einem Ingenieur

Was ist WanGuard

Eine komplette DDoS-Schutzplattform

WanGuard vereint Hochgeschwindigkeits-Traffic-Monitoring, Anomalieerkennung und automatisierte Mitigation in einem On-Premise-System, das Sie vollständig kontrollieren. Wir können Mitigation von Drittanbietern aktivieren, etwa Scrubbing-Center-Failover, Web Application Firewall (WAF)-Schutz oder weitere Ebenen, um mehrschichtigen Schutz aufzubauen.

WanGuard Sensor

Erfasst port-gespiegelte Pakete oder NetFlow/sFlow, erstellt Traffic-Baselines pro IP und erkennt volumetrische und Protokoll-Angriffe in unter 5 Sekunden.

WanGuard Filter / WanFilter

Die DPDK-beschleunigte Paketfilterung bereinigt nur den bösartigen Traffic – skaliert von 1 Gbit/s auf 800 Gbit/s pro Sensor-Port, ohne sauberen Traffic zu verwerfen.

WanGuard Console

Zentrale Verwaltung, Dashboards, Reporting und Alerting mit langfristiger sFlow/IPFIX/NetFlow-Analyse und Kapazitätsplanung.

So funktioniert es
WanGuard mit RTBH oder BGP FlowSpec: Ein BGP-Update mit FlowSpec-Firewall-Regeln wird an Ihre Router gesendet, sodass passender Angriffs-Traffic an den Uplink-Schnittstellen (oder bei Ihrem Tier-1-2-Provider) verworfen wird, bevor er Ihr Netzwerk erreicht; WanGuard erkennt über port-mirror/sFlow, und RTBH oder Edge-FlowSpec können ebenfalls upstream gesendet werden.

Schnelle Reaktion

FlowSpec verteilt Filterregeln netzwerkweit in Sekunden und stoppt Angriffe, bevor sie ihre Ziele erreichen.

Präzise Filterung

Regeln zielen anhand von IP, Protokoll, Port und Paketmerkmalen auf bösartigen Traffic – legitimer Traffic passiert ungehindert.

Läuft auf Ihren Routern

Nutzt vorhandene BGP-fähige Router (Cisco, Juniper, Arista, Huawei, Nokia) – keine dedizierte Appliance erforderlich.

Skalierbar

Global oder auf ausgewählte Netzwerksegmente angewendet; skaliert mit Ihrer bestehenden BGP-Infrastruktur.

Bereitstellung ohne Ausfallzeit

ITORO stellt BGP FlowSpec ohne Wartungsfenster bereit – keine Serviceunterbrechung während der Installation.

Geringere Kosten

Nutzt Ihre Router anstelle dedizierter DDoS-Hardware und senkt die Gesamtbetriebskosten.

Angriffe, die wir stoppen

Entwickelt für die Angriffe, die ISPs tatsächlich erleben

WanGuard, von ITORO optimiert, schützt vor dem gesamten Spektrum volumetrischer und Protokoll-DDoS-Angriffe – die folgenden Kategorien decken die überwiegende Mehrheit realer Vorfälle ab.

Volumetrische Floods

Hochratige UDP-, ICMP- und IP-Floods, die versuchen, Ihre Uplinks zu sättigen.

Amplifikation / Reflexion

NTP, DNS, CLDAP, CHARGEN, SSDP, memcached, SNMP und ähnliche Reflexionsvektoren.

Carpet-Bomb

Angriffe, die über viele Ziel-IPs in einem Präfix verteilt sind – pro IP erkannt, nicht nur pro Dienst.

Fragmentierung

IP/UDP-Fragment-Floods, die darauf ausgelegt sind, an sampling-basierten Flow-Systemen vorbeizukommen.

TCP-State-Exhaustion

SYN-, ACK- und Connection-Flood-Angriffe gegen zustandsbehaftete Geräte.

DNS & Anwendungsschicht

DNS-Query-Floods werden mitigiert (DNS-Sicherheit über DNSdist). Angriffe auf Anwendungsebene (L7) verwerfen oder drosseln wir, anstatt sie vollständig zu stoppen – WanGuard ist eine volumetrische L3/L4-Mitigation, keine Web Application Firewall.

Mitigationsmethoden

RTBH, BGP FlowSpec und WanFilter – das richtige Werkzeug für jeden Angriff

BGP-FlowSpec-Filterung

Granulare Filterung mit Hardware-Geschwindigkeit, direkt an Cisco/Juniper/Arista-Line-Cards gepusht – verwirft nur Angriffs-Traffic und hält den Dienst online.

RTBH-Blackholing

Remotely Triggered Black Hole verwirft den gesamten Traffic zu einer angegriffenen IP bei Ihren Upstreams – die Rückfalloption, wenn ein Angriff zu groß für granulare Filterung ist.

WanFilter-Scrubbing

Chirurgisches DPDK-Paket-Scrubbing, bereitgestellt inline oder als Off-Ramp-Filter. Setzen Sie es ein, wenn Ihre Router kein BGP FlowSpec unterstützen, oder als zusätzliche Filterebene über FlowSpec – um bestimmte Dienste zu schützen, anstatt die gesamte IP zu blackholen.

Mehrschichtige Automatisierung

Zuerst FlowSpec/WanFilter, RTBH als Rückfalloption, wenn sich die Uplinks der Sättigung nähern – vollautomatisch, mit Alerts an Ihr NOC.

Ehrlicher Umfang · was wir blockieren können & was nicht

Mitigation hat Grenzen – und wir sind ehrlich darüber

Innerhalb Ihres UplinksIm Netz gefiltert – WanGuard + Juniper MX · BGP FlowSpec · RTBH
Jenseits der LeitungUmleitung zu externem Scrubbing

Die Kapazität Ihres Uplinks ist die absolute Obergrenze – wir können nicht mehr filtern, als die Leitung transportiert.

Was wir mitigieren

  • Alles, worauf WanGuard + Juniper MX reagieren können – innerhalb der Bandbreite Ihres Uplinks.
  • Dauerhaft aktive, zustandslose MX-Filterung: Anti-Spoofing, Anti-Amplification, Rate-Limits, CoPP.
  • Dynamisches BGP FlowSpec und RTBH werden aktiviert, sobald ein Angriff erkannt wird.
  • Granulare Filterung hält Ihren Kunden online – RTBH nur als letztes Mittel.

Wo wir eskalieren – ehrlich

  • Die Mitigation ist durch die Uplink-Kapazität begrenzt – wir können nicht mehr filtern, als die Leitung transportiert.
  • BGP FlowSpec blockiert nur, was eine Regel ausdrücken kann – einige randomisierte oder adaptive Floods lassen sich nicht filtern.
  • Wenn der Traffic Ihren Uplink übersteigt oder nicht gefiltert werden kann, eskalieren wir zu einem externen Scrubbing-Center im Terabit-Bereich.
  • Wir sagen Ihnen von vornherein, was wir nicht blockieren können – das ist die Marke, kein Haftungsausschluss.
Warum ITORO

Ein Andrisoft Gold Partner, der WanGuard täglich betreibt

  • Komplette Installation, BIOS/OS/NIC-Tuning und Mitarbeiterschulung.
  • Realistische Schwellenwerte pro IP, die Angriffe ohne Fehlalarme erkennen.
  • BGP, RTBH und FlowSpec konfiguriert auf Ihren Routern und Upstreams.
  • Managed Support ist immer Teil der Bereitstellung – von NBD-E-Mail-Abdeckung bis zur vollständig ausgelagerten Administration. Das erste Jahr ist im Produkt enthalten.

Bereitstellung, von Anfang bis Ende

Die genauen Schritte, die ITORO durchführt, um Sie von leeren Servern zu einer optimierten, produktiven WanGuard-Bereitstellung zu bringen.

Installation
WanGuard Console, Sensor und Filter Software installieren (der Filter wird zusammen mit dem Sensor geliefert).
Eine Traffic-Filter-Karte auf den Traffic-Filter-Servern installieren.
Debian-System optimieren: CPU-Governor, Disk-Scheduler, sysctl-Parameter, GRUB.
WanGuard-Einstellungen
Die WanGuard-Komponenten auf dem primären Server verbinden (Sensor / Filter).
WanGuard-Filter-Konfiguration: Filterparameter und zusätzlicher Schutz gegen Link-Überlauf (Zusatzleistung).
Client-IP-Subnetze hinzufügen und DDoS-Angriffsschwellen festlegen.
Abschlussphase
Traffic-Filterung, dann RTBH als letzte Maßnahme.
E-Mail-Benachrichtigungen, Berichte und Alerts von WanGuard einrichten.
Die anfänglichen Traffic-Filter-Schwellen festlegen (Kundenabstimmung erforderlich).
Skriptbasierte Archivierung des WanGuard-Systems, mit einer Kopie auf dem ITORO-Server (Option für Kunden mit ITORO-Support-Paketen).
Operator-Schulung: Systembetrieb, Interpretation von Alerts und tägliches Management.
Produktivstart

Preise ansehen

Preise

Transparent, ab 2.500 € einmalig

Zwei Standardszenarien decken die meisten Bereitstellungen ab. Einmalige Bereitstellung (der erste Server umfasst Installation, Schulung und einen Monat Feinabstimmung); WanGuard-Lizenzen sind jährlich. Erstellen Sie ein vollständig aufgeschlüsseltes Angebot im Kalkulator.

Szenario 1 · Einstieg
ab 2.500 €

Nur RTBH – der schnellste und günstigste Weg, volumetrische Angriffe durch Blackholing des Ziels zu stoppen.

  • Port-Mirror-Sensor 2×10GE, Erkennung <5 s
  • BGP RTBH auf Ihren Routern/Upstreams
  • Mitigation nur per Blackhole
Szenario 2 · Standard
ab 3.000 €

RTBH + BGP FlowSpec – granulare Filterung, die den Dienst online hält, mit RTBH als Rückfalloption.

  • Alles aus Szenario 1
  • Granulare BGP-FlowSpec-Filterung + WanFilter
  • Skaliert auf 40/100/400GE-Sensoren

Vollständige Preise & Kalkulator öffnen

WanGuard FAQ

Häufige Fragen

Ist WanGuard besser als Cloud-DDoS-Schutz?

WanGuard läuft on-premise: Der Traffic verlässt niemals Ihr Netzwerk, die Erkennung ist schneller und die Kosten sind vorhersehbar. Es ergänzt Upstream-Cloud-Scrubbing bei sehr großen volumetrischen Angriffen.

Wie schnell erkennt WanGuard einen DDoS-Angriff?

Mit Port-Mirror-Erkennung typischerweise 2 bis 5 Sekunden; mit NetFlow/sFlow 35 bis 95 Sekunden, je nach Export-Intervallen.

Welche Hardware benötige ich?

Ein BGP-fähiger Router, ein Switch oder Router, der Flows exportieren (sFlow, NetFlow, IPFIX) oder Traffic spiegeln kann, und – für einen Port-Mirror-Sensor – ein Server, der auf die zu spiegelnde Portgeschwindigkeit ausgelegt ist, von 1 bis 400 Gbit/s. ITORO empfiehlt die genaue Spezifikation.

Kann ITORO WanGuard für uns betreiben?

Ja – unsere Support-Stufen Gold/Platinum umfassen Monitoring, Schwellenwert-Tuning, Änderungen und sogar die vollständige Administration.

Sollten wir inline oder out-of-band bereitstellen?

Unsere bevorzugte Methode ist Out-of-Band (Off-Ramp) mit einer Filter-VRF – Erkennung und Scrubbing liegen niemals dauerhaft im Datenpfad, es kann also nichts ausfallen. Ein Inline-Filter wird ebenfalls unterstützt, hat aber einen Nachteil: Wird er in einer Bridge oder direkt im Datenpfad platziert, kann ein Neustart oder Serviceereignis den Traffic kurzzeitig beeinträchtigen. Off-Ramp-Filterung vermeidet das vollständig.

Wie lange dauert die Bereitstellung?

Ein erster Server umfasst Installation, BIOS/OS/NIC-Tuning, Schulung und einen Monat Feinabstimmung. In der Praxis gehen die meisten Bereitstellungen in ein bis zwei Wochen live – vorausgesetzt, Ausrüstung, Server und BGP sind bereit und Ihr Team hat Zeit für die Schulung. Wir können auch bereitstellen, während Sie sich unter aktivem Angriff befinden; das bedeutet manchmal, den Schutz über einen alternativen Datenpfad (zum Beispiel eine Mobilfunkverbindung) aufzubauen, um das angegriffene Rechenzentrum oder den ISP zu erreichen.

Wie geht es mit verschlüsselten (TLS-)Angriffen um?

TLS-Angriffe finden auf Layer 7 statt. WanGuard arbeitet auf Layer 3/4 – BGP FlowSpec, RTBH-Blackholing und Edge-FlowSpec – und inspiziert ohne installierte Zertifikate keine verschlüsselten Payloads. Es ist keine Web Application Firewall; es ist eine Software zur volumetrischen DDoS-Mitigation, die den Flood anhand des Traffic-Verhaltens (Rate, Quellen, Paketmerkmale) absorbiert.

Lässt es sich in unsere bestehende Infrastruktur integrieren?

Ja. WanGuard steuert Ihre vorhandenen BGP-fähigen Router (Juniper, Cisco, Arista, Huawei, Nokia) – kein kompletter Austausch nötig. Ein Juniper MX ist ein hervorragendes Always-On-Filter-Gateway mit Line-Rate, und die Streaming-Telemetrie von Juniper speist Grafana für die Sichtbarkeit – beide als Zusatzprodukte in unserem Portfolio verfügbar.

Kann es mit wachsender Bandbreite mitskalieren?

Sensoren skalieren von 2×10GE bis 400GE pro Server, Sie können Sensoren und POPs hinzufügen, und die Flow/sFlow-Erkennung skaliert über viele Router bis in den Terabit-Bereich. Die Mitigation über BGP FlowSpec läuft mit der Line-Rate Ihrer Router.

Wie sind die Kosten im Vergleich zum Cloud-Scrubbing?

WanGuard ist eine einmalige Bereitstellung plus jährliche Lizenzen und optionaler Support – keine Scrubbing-Gebühren pro Gbit/s, die mit der Angriffsgröße in die Höhe schnellen. Die Kosten sind vorhersehbar, und Ihr Traffic verlässt niemals Ihr Netzwerk.

Welche Sichtbarkeit erhalten wir über Angriffs-Alerts hinaus?

Live-Dashboards, Berichte pro Vorfall und Langzeitanalysen – plus optionale Juniper-MX-Telemetrie in Grafana für Echtzeit-Ansichten von Edge und Mitigation, die Ihr NOC während eines Angriffs beobachten kann. Das regulatorische (NIS2-)Reporting wird im Rahmen des ITORO-Notfallpakets auf die Anforderungen Ihres Landes zugeschnitten und mit dem Vertrieb abgestimmt.

Welche Arten von DDoS-Angriffen kann es stoppen?

Volumetrische Floods (UDP/ICMP), Amplifikation/Reflexion (NTP, DNS, CLDAP, memcached und mehr), Carpet-Bomb, Fragmentierung, TCP-State-Exhaustion (SYN) und DNS-Floods. Traffic auf Anwendungsebene (L7) wird verworfen oder gedrosselt, statt vollständig gestoppt zu werden. Für weitere Informationen kontaktieren Sie den Vertrieb.

Bereit, DDoS-Angriffe zu stoppen, bevor sie eintreffen?

Erhalten Sie eine WanGuard-Bereitstellung, die auf Ihr Netzwerk zugeschnitten und optimiert ist.

ITORO kontaktieren