Mehrschichtige DDoS-Schutz-Infrastruktur
Mit dem G-Core globalen Backbone und XDP-basierter Edge-Filterung wird Angriffs-Traffic blockiert, bevor er Ihre Server erreicht. 200+ Tbps Kapazität, Istanbul PoP-Konnektivität und Carrier-Grade Netzwerksicherheit.
Distributed Denial of Service-Angriffe und ihre Auswirkungen
Ein DDoS-Angriff (Distributed Denial of Service) ist eine Art Cyberangriff, der darauf abzielt, einen Server oder eine Netzwerk-Infrastruktur durch Überflutung mit massiven Mengen gefälschten Traffics außer Stand zu setzen. Angreifer senden Traffic gleichzeitig von tausenden kompromittierten Geräten (Botnets) weltweit an das Ziel.
DDoS-Angriffe können nicht nur große Organisationen, sondern auch Unternehmen jeder Größe ins Visier nehmen. Auf einer ungeschützten Infrastruktur können bereits wenige Minuten Angriff zu schwerwiegenden Folgen wie Service-Ausfall, Kundenverlust und Reputationsschaden führen.
- Millionen gleichzeitiger Anfragen werden über Botnets gesendet
- Die Leitungskapazität wird gesättigt, der Server wird unerreichbar
- Verursacht sofortige Service-Ausfälle auf ungeschützten Infrastrukturen
- Eine der häufigsten und größten Cyberbedrohungen heute
Häufige DDoS-Angriffstypen, denen Sie begegnen
DDoS-Angriffe werden über verschiedene Protokolle und Methoden durchgeführt. Unsere Infrastruktur bietet mehrschichtigen Schutz gegen all diese Angriffstypen.
UDP Flood
Die Netzwerkbandbreite wird durch das Senden dichter UDP-Pakete an das Ziel erschöpft. Es ist ein hochvolumiger volumetrischer Angriffstyp und kann Leitungssättigung verursachen.
SYN Flood
Server-Ressourcen werden durch Missbrauch des TCP-Verbindungsaufbaus erschöpft. Halboffene Verbindungen sammeln sich an und führen dazu, dass neue Verbindungsanfragen abgelehnt werden.
Amplification
Mit Protokollen wie DNS, NTP oder Memcached erzeugt eine kleine Anfrage eine sehr große Antwort. Der Angriffs-Traffic wird vielfach verstärkt und auf das Ziel gerichtet.
Botnet-Angriffe
Traffic wird gleichzeitig von tausenden kompromittierten Geräten weltweit an das Ziel gesendet. Aufgrund seiner verteilten Natur wird das Blockieren der Quelle schwierig.
TCP-Flag-Anomalien
Pakete mit ungültigen TCP-Flag-Kombinationen werden gesendet, die Sicherheitsgeräte und Server-Ressourcen anvisieren.
Volumetrische Angriffe
Hochbandbreiten-Angriffe, die darauf abzielen, die Netzwerkleitung zu sättigen. Traffic über der Leitungskapazität wird gesendet, um einen Service-Ausfall zu erzeugen.
Zweistufige Verteidigung: Upstream-Filterung + Edge-Schutz
Unsere Infrastruktur ist auf einer mehrschichtigen und Carrier-Grade Netzwerk-Architektur aufgebaut, die gegen hochvolumige DDoS-Angriffe in globalem Maßstab konzipiert ist. Unser gesamter Netzwerk-Traffic wird über eine Metro-Ethernet-Leitung direkt mit dem in Istanbul gelegenen G-Core Backbone verbunden.
In der ersten Stufe absorbiert G-Cores globales Backbone Angriffs-Traffic und blockiert hochvolumige Angriffe. In der zweiten Stufe erkennen unsere XDP-betriebenen kundenspezifischen Routing-Geräte auf Edge-Ebene gezielte Angriffe und bieten zusätzlichen Schutz.
- Angriffs-Traffic wird auf dem Backbone gefiltert, bevor er die Infrastruktur erreicht
- Die Leitungskapazität kann nicht durch DDoS-Traffic gesättigt werden
- Inländischer und internationaler Traffic fließen über ein einziges Backbone
- Nur sauberer Traffic erreicht die Server
Globale Netzwerk-Architektur und Traffic-Fluss
Der gesamte Traffic, der auf unser Netzwerk abzielt, wird über G-Cores globale Backbone-Infrastruktur gefiltert und gereinigt. Angriffs-Traffic wird blockiert, bevor er unsere Infrastruktur erreicht.
Backbone-Level-Schutz auf dem G-Core Backbone
Unsere Infrastruktur ist über Metro-Ethernet-Verbindungen der Carrier Gibirnet und Türk Telekom direkt mit dem G-Core Istanbul PoP verbunden. Dank dieser Architektur wird der gesamte Traffic zu unserem Netzwerk über die globale G-Core Backbone-Infrastruktur geleitet.
Traffic, der durch G-Cores Istanbul-Backbone fließt, wird von fortschrittlichen Netzwerk-Analyse- und Filtersystemen ausgewertet. UDP Flood, SYN Flood, Amplification-Angriffe und botnet-getriebener volumetrischer Traffic werden in Echtzeit erkannt und auf Backbone-Ebene gefiltert.
Dank dieses Upstream-Schutzmodells wird Angriffs-Traffic gereinigt, bevor er unsere Infrastruktur erreicht. Die Kapazität unserer Metro-Ethernet-Leitung kann nicht durch Angriffs-Traffic gesättigt werden und Leitungssättigung wird verhindert.
- Direkte Metro-Ethernet-Konnektivität zum G-Core Istanbul PoP
- 200+ Tbps globale Backbone-Kapazität
- Angriffs-Traffic wird auf Backbone-Ebene absorbiert
- Leitungssättigung und Kapazitätsüberlauf werden verhindert
XDP-basierte Hochgeschwindigkeits-Paketfilterung
Nach der leistungsstarken Filterschicht auf Upstream-Ebene erreicht der Traffic unsere kundenspezifisch entwickelten Routing-Geräte am Edge. Statt Standard-Router-Plattformen werden kundenspezifische Netzwerkgeräte mit hoher Paketverarbeitungs-Kapazität verwendet.
Dank der XDP-Paketverarbeitungs-Technologie (eXpress Data Path) wird Traffic, der unser Netzwerk erreicht, auf Kernel-Ebene analysiert und kann mit sehr hohen Paketraten gefiltert werden. Mit der XDP-Architektur werden Angriffspakete erkannt und blockiert, bevor sie Systemressourcen verbrauchen.
- XDP-basierte Kernel-Level-Paketverarbeitung
- Hohe PPS-Verarbeitungskapazität (Pakete pro Sekunde)
- Anomale Verbindungsdichte- und Paketfluss-Analyse
- TCP-Flag-Anomalien und SYN-basierte Angriffsmitigation
- Dynamische IP-Blacklisting und Angriffssignatur-Analyse
- Erweiterte Protokoll- und portbasierte Filterung
Ein Schutzmodell, das Angriffe an der Quelle stoppt
Upstream Backbone-Filterung ist die Methode, DDoS-Angriffs-Traffic auf Internet-Backbone-Ebene zu erkennen und zu filtern, bevor er die Ziel-Infrastruktur erreicht. In diesem Modell betritt Angriffs-Traffic niemals das Hosting-Netzwerk; er wird auf dem globalen Backbone absorbiert, und nur sauberer Traffic wird an die Infrastruktur geliefert.
Bei anderen Schutzmethoden (lokale Firewall, GRE-Tunnel, Scrubbing-Center) erreicht Angriffs-Traffic zuerst das Hosting-Netzwerk oder einen Zwischenpunkt und wird dann gefiltert. In diesem Fall kann Angriffs-Traffic die Leitung sättigen, und ein Service-Ausfall tritt auf, bevor der Traffic das Filtergerät erreicht. Im Upstream-Modell erfolgt die Filterung auf Backbone-Ebene, wodurch das Risiko der Leitungssättigung eliminiert wird.
Stellen Sie es sich so vor: eine lokale Firewall ist wie das Aufstellen von Sicherheitspersonal an der Tür Ihres Gebäudes — wenn die Menge die Tür überrennt, bricht das Gebäude zusammen. Upstream-Filterung ist Filterung am Stadteingang — bösartiger Traffic kommt nicht einmal in die Nähe Ihres Gebäudes.
- Angriffs-Traffic wird auf dem Backbone blockiert, bevor er die Infrastruktur erreicht
- Die Leitungskapazität kann nicht mit Angriffs-Traffic gesättigt werden
- Ein Backbone mit Hunderten von Tbps Kapazität absorbiert den Angriff
- Deutlich effektiverer Schutz als eine lokale Firewall oder GRE-Tunnel
- Keine Latenzerhöhung; sauberer Traffic wird direkt geliefert
Netzwerk-Schutz-Kapazitäts-Vergleich
Vergleichen Sie die globale Kapazität des G-Core Backbone-Netzwerks, mit dem unsere Infrastruktur verbunden ist, mit anderen Schutzanbietern.
Kapazitätszahlen basieren auf Informationen, die auf den offiziellen Websites der jeweiligen Anbieter veröffentlicht werden. Aktuelle Werte können abweichen.
Warum klassischer Hosting-Schutz unzureichend ist
Die meisten Hosting-Anbieter verwenden lokale Firewalls oder GRE-Tunnel, die vor dem Server platziert werden, für DDoS-Schutz. Bei diesen Methoden betritt Angriffs-Traffic zuerst das Hosting-Netzwerk und wird dann gefiltert. Das Problem: sobald Angriffs-Traffic die Netzwerkleitung überflutet, wird die Filterung bedeutungslos.
In unserer Architektur erreicht Angriffs-Traffic niemals unsere Infrastruktur. G-Cores globales Backbone absorbiert den Angriff an der Quelle. Es ist wie Filterung am Stadteingang, anstatt Sicherheitspersonal an der Gebäudetür zu platzieren.
- Konkurrenten: Der Angriff betritt das Netzwerk, dann wird gefiltert (zu spät)
- Wir: Der Angriff wird auf dem Backbone blockiert, betritt nie das Netzwerk
- Konkurrenten: Service-Ausfall tritt bei Leitungssättigung auf
- Wir: Die Leitungskapazität kann nicht mit Angriffs-Traffic gesättigt werden
Latenz und Service-Kontinuität während eines DDoS-Angriffs
Während andere Anbieter Traffic während eines Angriffs ins Ausland umleiten, vervielfacht sich die Latenz. Auf unserer Infrastruktur wird Traffic gefiltert, ohne Istanbul zu verlassen, sodass die Latenz nicht steigt.
Typischer DDoS-Schutz-Anbieter
StormWall, Voxility, BelCloud usw.DDoS-Traffic zielt auf das Hosting-Netzwerk
Traffic wird über GRE-Tunnel oder BGP an ein Scrubbing-Center in Europa weitergeleitet
Traffic folgt der Route Istanbul → Europa → Scrubbing → Rückkehr
Kurze Ausfallzeit oder Paketverlust können auftreten, bis der Schutz aktiv wird
Kolan IT-Infrastruktur
G-Core Backbone + Edge XDPDDoS-Traffic zielt auf das G-Core globale Backbone
Angriffs-Traffic wird am G-Core Istanbul PoP auf Upstream-Ebene blockiert
Sauberer Traffic passiert den XDP-betriebenen Edge-Router und erreicht die Server
Traffic verlässt das Land nicht; er wird direkt über den Istanbul PoP geliefert
DDoS-Schutz-Anbieter-Vergleich
Sehen Sie den Unterschied durch Vergleich der DDoS-Schutz-Architektur unserer Infrastruktur mit anderen Anbietern.
| Anbieter | Kapazität | Istanbul PoP | Schutzmodell | Bewertung |
|---|---|---|---|---|
| Kolan IT Unsere Infrastruktur | 200+ Tbps | Direkte Verbindung | Upstream Backbone-Filterung | Backbone-Level-Filterung, keine Leitungssättigung |
| Cloudflare | ~348 Tbps | Ja | Anycast CDN-Proxy | CDN/Proxy-basiert; direkter Server-IP-Schutz erfordert zusätzliche Konfiguration |
| Akamai (Prolexic) | ~20 Tbps | Begrenzter Edge | CDN-Proxy + Scrubbing | Stark im Enterprise-Segment, aber teuer |
| Path.net | ~12 Tbps | Begrenzt | Scrubbing-Center | Traffic wird zu einem Scrubbing-Center umgeleitet |
| StormWall | ~5 Tbps | Ausland | GRE-Tunnel | Traffic wird über einen Tunnel ins Ausland umgeleitet; Latenz steigt |
| BelCloud | ~3 Tbps | Ausland | Scrubbing-Netzwerk | Belarus-basiert, hohe Latenz für Türkei-Traffic |
| Voxility | ~2 Tbps | Hauptsächlich EU | Scrubbing-Netzwerk | Europa-basiert, Latenz ist in der Türkei hoch |
| AuroLogic / RoyaleHosting | ~1 Tbps | Keine | Lokale Filterung | Begrenzte Kapazität; kann bei großflächigen Angriffen unzureichend sein |
| Local Firewall Hosting | 10-40 Gbps | Transit | Lokale Firewall | Sobald der Angriff das Netzwerk betritt, erfolgt die Filterung; die Leitung kann sich füllen |
Die Kapazitäts- und Infrastrukturdaten in der Tabelle basieren auf Informationen, die auf den offiziellen Websites der jeweiligen Anbieter veröffentlicht werden. Die Daten sind informativ und aktuelle Werte können abweichen.
Vorteile der DDoS-Schutz-Infrastruktur
Die wesentlichen Vorteile, die unsere mehrschichtige Netzwerksicherheits-Architektur unseren Kunden bietet.
99,99% Verfügbarkeit
Dank Upstream-Filterung laufen Ihre Dienste auch während hochvolumiger Angriffe unterbrechungsfrei weiter. Wir bieten eine echte Verfügbarkeitserfahrung.
Niedrige Latenz
Dank der Istanbul PoP-Verbindung bleibt inländischer Traffic in der Türkei bei etwa 3-8 ms. Eine für Game-Server und Echtzeit-Anwendungen optimierte Infrastruktur.
XDP-Paketfilterung
Ultraschnelle Angriffserkennung mit XDP-basierter Kernel-Level-Paketverarbeitung. Mit hoher PPS-Kapazität, Leistung weit über Standard-Routern.
Traffic-Verhaltensanalyse
Fortschrittliche Anomalieerkennung wird über PPS-basierte Traffic-Inspektion, anomale Verbindungsdichte-Analyse und Angriffssignatur-Filterung bereitgestellt.
Dynamische IP-Blacklisting
Angriffsquellen werden in Echtzeit erkannt und dynamische IP-Blacklists erstellt. Unterstützt durch Rate-Limiting und Verbindungskontrollmechanismen.
Optimiert für Game-Server
Eine für Game-Server optimierte Infrastruktur, die niedrigen Ping und stabile Konnektivität benötigt. Kundenspezifische Filterregeln gegen UDP Flood und protokollbasierte Angriffe.
Sind Sie unter Angriff?
Wenn Sie derzeit mit einem DDoS-Angriff konfrontiert sind oder Ihre Infrastruktur bedroht ist, nehmen Sie sofort Kontakt mit uns auf. Unser Expertenteam bewertet die Situation und bietet so schnell wie möglich eine Lösung. Wir unterstützen auch die Migration Ihrer bestehenden Infrastruktur zu unserer DDoS-geschützten Plattform.
Eine globale Backbone-Infrastruktur mit 200+ Tbps Kapazität
G-Core ist ein globaler Technologie-Anbieter, der weltweit hochkapazitive Netzwerk-Infrastruktur, CDN- und DDoS-Schutz-Lösungen anbietet. Aufgebaut auf einer Backbone-Infrastruktur mit 200+ Tbps Kapazität, umfasst G-Core direkte Verbindungen zu Hunderten von Rechenzentren und Internet-Austauschpunkten weltweit.
Dank seiner verteilten PoP-Architektur wird Traffic vom Punkt geroutet, der dem Nutzer am nächsten ist. Gleichzeitig ermöglicht es die Erkennung und Filterung großflächiger DDoS-Angriffe auf Backbone-Ebene. Mit direkten Verbindungen zu Tier-1-Carriern und großen Internet-Austauschpunkten trägt es den globalen Internet-Traffic auf die effizienteste Weise.
- 200+ Tbps globale Backbone-Kapazität
- 210+ verteilte PoPs (Points of Presence)
- Direkte Konnektivität zu Tier-1-Carriern
- CDN-, Edge-Computing- und DDoS-Schutz-Lösungen
Unsere DDoS-geschützten Server-Lösungen
Unsere mehrschichtige DDoS-Schutz-Infrastruktur ist standardmäßig in allen unseren Server-Tarifen enthalten.
VDS-Server (TR)
Eine DDoS-geschützte, stabile und zuverlässige virtuelle Server-Infrastruktur mit Xeon-betriebenem KVM VDS-Server am Standort Türkei.
EntdeckenPremium VDS (TR)
Niedrige Latenz, hohe Leistung und fortschrittlicher DDoS-Schutz mit AMD Ryzen 9 5950X-betriebenem Premium VDS-Server.
EntdeckenDeutschland VDS
Eine robuste und geschützte Infrastruktur für Europa-fokussierte Projekte mit Deutschland VDS-Servern am Standort Nürnberg.
EntdeckenWas Kolan-Kunden sagen
Bewertungen von Kunden, die unsere Hosting- und Server-Dienste nutzen.
Häufig gestellte Fragen zum DDoS-Schutz
Finden Sie hier Antworten zu allem, was Sie über DDoS-Angriffe, Schutz-Architektur, Upstream-Filterung und Netzwerksicherheit wissen möchten.
DDoS (Distributed Denial of Service) ist ein verteilter Denial-of-Service-Angriff. Angreifer senden massive Mengen Traffic gleichzeitig von tausenden kompromittierten Geräten (Botnets) weltweit an ein Ziel, mit dem Ziel, den Server oder die Netzwerk-Infrastruktur außer Stand zu setzen. UDP Flood, SYN Flood, Amplification und volumetrische Angriffe sind die häufigsten DDoS-Angriffstypen.
Unsere Infrastruktur verwendet einen zweistufigen Verteidigungsmechanismus. In der ersten Stufe passiert aller Traffic G-Cores globales Backbone und Angriffs-Traffic wird auf Backbone-Ebene gefiltert. In der zweiten Stufe erkennen unsere XDP-betriebenen kundenspezifischen Routing-Geräte auf Edge-Ebene gezielte Angriffe und bieten zusätzlichen Schutz. Dadurch wird Angriffs-Traffic blockiert, bevor er Ihre Server erreicht.
Upstream-Filterung ist das Blockieren von Angriffs-Traffic auf Internet-Backbone-Ebene, bevor er Ihre Infrastruktur erreicht. Klassische Hosting-Anbieter versuchen, Angriffs-Traffic zu filtern, nachdem er in ihre eigenen Netzwerke gelangt ist, was dazu führen kann, dass die Leitungskapazität sich füllt. Mit Upstream-Filterung wird Angriffs-Traffic auf G-Cores 200+ Tbps Kapazitäts-Netzwerk absorbiert und Leitungssättigung verhindert.
G-Core ist ein globaler Netzwerk-Anbieter mit weltweit 200+ Tbps Backbone-Kapazität, 210+ verteilten PoPs und direkten Verbindungen zu Tier-1-Carriern. Er bietet CDN-, Edge-Computing- und DDoS-Schutz-Lösungen. Dank unserer direkten Metro-Ethernet-Verbindung zum Istanbul PoP werden niedrige Latenz und hochkapazitiver Schutz für Türkei-Traffic bereitgestellt.
XDP (eXpress Data Path) ist eine Hochleistungs-Paketverarbeitungs-Technologie, die auf Linux-Kernel-Ebene läuft. Im Gegensatz zu herkömmlichen Firewall-Lösungen werden Pakete auf Kernel-Ebene verarbeitet, was Filterung mit deutlich höheren Paketraten (PPS) ermöglicht. Dadurch werden Angriffspakete erkannt und blockiert, bevor sie Systemressourcen verbrauchen.
Unsere Infrastruktur schützt gegen UDP Flood, SYN Flood, Amplification (DNS, NTP, Memcached), TCP-Flag-Anomalien, botnet-getriebenen volumetrischen Traffic, protokollbasierte Angriffe und alle anderen Arten von verteilten Denial-of-Service-Angriffen. Sowohl volumetrische (bandbreitenzielende) als auch protokollbasierte (ressourcenerschöpfende) Angriffe werden automatisch erkannt und gefiltert.
Ja, unsere mehrschichtige DDoS-Schutz-Infrastruktur ist standardmäßig in allen unseren VDS-, Premium VDS- und Deutschland VDS-Tarifen enthalten. Es gibt keine zusätzliche Gebühr. Alle Ihre Server sind mit Upstream-Filterung über das G-Core Backbone und XDP-basiertem Schutz am Edge gesichert.
Dank des Upstream-Filterungs-Modells wird Angriffs-Traffic auf G-Cores globalem Backbone absorbiert, bevor er unsere Infrastruktur erreicht. Dadurch kann unsere Leitungskapazität nicht mit Angriffs-Traffic gesättigt werden und Ihre Dienste laufen auch während hochvolumiger Angriffe unterbrechungsfrei weiter. Wir bieten eine 99,99% Verfügbarkeits-Garantie.
Bei lokalem Firewall-Schutz betritt Angriffs-Traffic zuerst das Hosting-Netzwerk und es wird versucht, ihn vor dem Server zu filtern. Wenn jedoch Angriffs-Traffic die Leitungskapazität überschreitet, tritt ein Service-Ausfall auf, bevor er die Firewall erreicht. Mit Upstream-Schutz wird Angriffs-Traffic auf dem Internet-Backbone gefiltert und betritt niemals die Infrastruktur. Dadurch tritt keine Leitungssättigung auf und die Service-Kontinuität wird bewahrt.
Dank unserer direkten Metro-Ethernet-Verbindung zu G-Cores Istanbul PoP wird Traffic innerhalb der Türkei mit niedriger Latenz von 3-8 ms transportiert. Dies ist ein großer Vorteil für sowohl Web-Dienste als auch Game-Server. Außerdem tritt, da Traffic gefiltert wird, ohne das Land zu verlassen, keine Latenzerhöhung auf.
Wir stehen Ihnen bei der Netzwerksicherheit zur Seite
Nehmen Sie Kontakt mit uns auf, um mehr über unsere DDoS-Schutz-Infrastruktur, Netzwerksicherheits-Architektur und Server-Lösungen zu erfahren. Unser Expertenteam ist 24/7 verfügbar.
Blog & News
Bleiben Sie mit den neuesten Entwicklungen aus der Hosting-Welt und Best Practices der Sicherheit auf dem Laufenden.
ESXi Nedir? VMware Hipervizörünün Çalışma Mantığı ve Avantajları
Tek bir fiziksel sunucu üzerinde onlarca bağımsız işletim sistemini aynı anda, birbirinden yalıtılmış biçimde çalıştırabilmenin temelinde sanallaştırma yazılımları yatar. Bu alanda dünyada en yaygı...
Auf Türkisch verfasst Mehr lesenvCenter Nedir? Ne İşe Yarar ve Neden Gereklidir?
Tek bir sanallaştırma sunucusunu yönetmek kolaydır; ancak sunucu sayısı arttıkça her birini ayrı ayrı yönetmek hızla içinden çıkılmaz hâle gelir. İşte tam bu noktada VMware…
Auf Türkisch verfasst Mehr lesenvSphere Nedir? VMware Sanallaştırma Platformunu Tanıyın
Sunucu sanallaştırmasıyla ilgilenen herkes er ya da geç VMware vSphere adıyla karşılaşır. Ancak vSphere’in tam olarak ne olduğu, ESXi ve vCenter’dan farkının ne olduğu çoğu…
Auf Türkisch verfasst Mehr lesenUnterbrechungsfreier Service mit mehrschichtigem DDoS-Schutz
Mit Upstream-Filterung über das G-Core globale Backbone, XDP-basiertem Edge-Schutz und 200+ Tbps Kapazität laufen Ihre Server auch unter Angriff unterbrechungsfrei weiter.