SMARTNET / SmartMitigate

DDoS-Schutz

Inline-Mitigation für Angriffe auf Hosting-, Game-, Voice- und Netzwerkdienste.

SmartMitigate

Unser Ansatz

Hosting-Provider und Online-Unternehmen werden häufig Ziel von DDoS-Angriffen. SmartMitigate ist unsere eigene Mitigation-Lösung und integriert sich in unseren bestehenden Cluster aus herstellerbasierten Mitigatoren.

Inline-Mitigation

Traffic wird kontinuierlich geprüft. Wir unterstützen IPv4, IPv6, Paket-Samples, Portalzugriff und API-basierte Sichtbarkeit.

Inline 24/7 IPv4 / IPv6 API + Portal Paket-Samples

Was uns unterscheidet

Wir behandeln Country-Blocking nicht als DDoS-Mitigation. Wir arbeiten mit bekannten Gegenmaßnahmen wie SYN-Cookies, TCP- und UDP-Authentifizierung sowie Angriffsmustern, die schädlichen Traffic klar identifizieren.

Features

Gebaut für echten Angriffstraffic

SmartMitigate ist für langanhaltende Angriffe, Game- und Voice-Traffic, Paket-Samples, umfangreiche Statistiken und kundenspezifische Mitigation-Profile ausgelegt.

Inline

Traffic wird jederzeit geprüft.

Umfangreiche Statistiken

Alle Angriffe in einem Portal oder über REST API.

Paket-Samples

Analysieren Sie aufgezeichnete Paket-Samples selbst.

Viele Vektoren

TCP, UDP, ICMP, GRE und IPv6.

Game und Voice

TeamSpeak, FiveM, Minecraft und andere.

Kundenspezifische Mitigation

Zugeschnittene Policies für spezielle Workloads.

Abdeckung

Was wir mitigieren können

SMARTNET mitigiert Angriffe auf Netzwerk- und Transportebene für IPv4 und IPv6. Layer-7-HTTP(S)-Floods und echter Application-Bot-Traffic erfordern applikationsseitige Kontrollen und werden nicht von unseren DDoS-Mitigatoren abgedeckt.

Unterstützte Angriffstypen

IPv4- und IPv6-Floods
UDP-Floods
TCP-Floods
ICMP-Floods
Andere Protokoll-Floods
Resource-Exhaustion-Angriffe
Amplification-Floods
PCAP-Replay-Schutz
Zero-Day-Angriffserkennung, wenn Standard-Gegenmaßnahmen nicht ausreichen

Nicht vollständig abgedeckt

Layer-7-HTTP(S)-Floods
Echter Application-Bot-Traffic wie Minecraft-Bots
Missbrauch von Applikationslogik, der wie gültiger Nutzertraffic aussieht

Wir bieten keinen Support für Layer-7-HTTP(S)-Floods, da diese Angriffe auf Applikationsebene behandelt werden müssen und nicht auf der Ebene, auf der SmartMitigate arbeitet.

SmartMitigate

Applikationsspezifische Mitigation

SmartMitigate ist unser eigenes Anti-DDoS-System für applikationsspezifische Angriffe. Es erzwingt strikte TCP- und UDP-Authentifizierung und ist für Game-, Voice- und High-Risk-Dienste ausgelegt.

Für TCP-Dienste sollte SmartMitigate dauerhaft aktiviert werden. Wenn es erst nach Erkennung eines Angriffs aktiviert wird, können bestehende TCP-Clients getrennt werden, wenn sich das Mitigation-Profil ändert.

Dauerhafter Schutz

UDP-Traffic und ausgewählte TCP-Ranges können dauerhaft durch SmartMitigate fließen, bevor sie zurück an die generische Mitigation-Ebene gesendet werden.

Custom Mitigation-Profile

Kunden können kundenspezifische Mitigation-Profile für bestimmte Anwendungen anfragen. Wenn der Filter vielen Kunden hilft, entwickeln wir ihn eventuell kostenlos. Komplexe Einzelanforderungen können kostenpflichtige Entwicklung erfordern.

Source-Whitelisting

SmartMitigate unterstützt Source-Whitelisting auf Basis von LPM-Matches. Whitelisted Sources können weiterhin limitiert werden, wenn sie Teil eines Angriffs werden.

Geschützte Anwendungen

Unterstützte Game- und Applikationsranges

Nutzen Sie die unterstützten Portbereiche. Betreiben Sie Spiele oder VPN-Dienste nicht außerhalb ihrer spezifizierten Bereiche und mischen Sie keine fremden Anwendungen in gamespezifische Bereiche.

UDP-Ranges

FiveM: 30000-32000

Factorio: 34100-34200

TeamSpeak3: 9000-9999

Valve Source Engine: 27000-28000

Minecraft Bedrock: 19100-19200

Palworld: 8200-8300

SCP Secret Laboratory: 7100-7200

Rust: 28015-28100

BeamMP: 40140

Hytale / QUIC: 5520-5620

OpenVPN: 1194-1294

WireGuard: 51820-51920

TCP-Ranges

FiveM: 30000-32000

Minecraft Java: 25565-26000

SSH: 22

HTTP: 80

HTTPS: 443

Aktuell aktive permanente SmartMitigate-Ranges

UDP-Traffic und FiveM-TCP-Traffic auf den Ports 30000-32000 werden aktuell dauerhaft über SmartMitigate geroutet.

Traffic Policy

Limits und blockierter Traffic

Traffic, der rate-limitiert werden kann

TCP-Traffic
UDP-Traffic
DNS-Traffic pro Ziel-IP

Öffentliche Resolver wie 1.1.1.1, 8.8.8.8 und 9.9.9.9 erhalten während DNS-bezogener Angriffe höhere Priorität.

Standardmäßig blockiert

IPv4-GRE-Traffic, sofern nicht gewhitelistet
Nicht-IP-Protokolltraffic außer Proto 1, 4, 6 und 17

GRE und andere Protokolle werden standardmäßig blockiert, weil sie ohne Kenntnis der erwarteten Source- und Destination-Paare nicht sicher mitigiert werden können. GRE-Tunnel können über SmartRules in unserem Kundeninterface gewhitelistet werden.

Kapazität

Mitigation-Kapazität und Erwartungen

SMARTNET inkludiert bis zu 1 Tbps / 1 Gpps garantierte Mitigation-Kapazität für jeden Kunden. Größere Angriffe werden ebenfalls mitigiert, wenn möglich, wir behalten uns jedoch das Recht vor, Traffic zu blackholen oder zu verwerfen, wenn ein Angriff das Netzwerk erheblich beeinträchtigt.

Inkludierte Basis

Bis zu 1 Tbps / 1 Gpps Mitigation-Kapazität ist unabhängig von der monatlichen Grundgebühr inkludiert.

Über 1 Tbps / 1 Gpps

Größere Angriffe werden nicht automatisch geblackholed. Wir können weitere Informationen zum angegriffenen Dienst anfordern oder einen Plan mit höherer Kapazität anbieten.

Best Effort

DDoS-Schutz wird auf Best-Effort-Basis bereitgestellt. Wir bieten kein SLA für Mitigation-Kapazität oder angriffsbedingte Verfügbarkeit.

GRE-Schutz

GRE-Tunnel sind verfügbar, aber nicht ideal für jeden Dienst

GRE-Tunnel sind ein einfacher Weg, DDoS-Schutz von SMARTNET zu erhalten. Für latenzkritische Dienste wie Gameserver ist ein physischer Interconnect meistens die bessere Option.

Nicht empfohlen: MikroTik GRE

Viele MikroTik-Router können GRE-Traffic oberhalb von 1 Gbps nicht verarbeiten. Wir bieten keinen Support für MikroTik-basierte GRE-Endpunkte.

Nicht empfohlen: Cross-Continent GRE

Wir empfehlen SMARTNET-GRE-Tunnel nicht, wenn der Kundenendpunkt außerhalb Europas liegt. Cross-Continent GRE ist schwieriger zu troubleshooten und kann vermeidbare Latenz oder Congestion verursachen.

Angebote

Anti-DDoS-Angebote

Mitigation über GRE, Cross-Connect oder kundenspezifisches Setup.

GRE-Tunnel

BGP oder Layer-2 / statisches Routing
IPv6 und IPv4
Standort: Equinix FR5
Redundantes Setup
/30 IPv4 und /128 IPv6
1 Gbps 95/5 Clean Traffic inkludiert
24/7 Support

260 €

pro Monat

Kundenspezifische Lösung

Fully Managed
Standort: Equinix FR5
Kundenspezifische Routing- und Filtering-Policy
Für spezielle Workloads und größere Deployments

Individuelle Preise

Kontaktieren Sie uns für Details

Cross-Connect

BGP oder statisches Routing
IPv6 und IPv4
Jumbo-Frame-ready
Standort: Equinix FR5
Redundantes Setup
/30 IPv4 und /128 IPv6
Ab 1 Gbps 95/5
1, 10, 25 oder 40G Ports
24/7 Support

170 €

pro Monat

Sichtbarkeit

Traffic-Einblick zu jeder Zeit

Angriffsübersicht, Paket-Samples und Filter-Sichtbarkeit über das Kundenportal.

Filtering

KI-unterstützte Filter gegen PCAP-Replay und Zero-Day-Bedrohungen

Vorteile

Ihre Vorteile

Time-to-mitigate unter 10 Sekunden
Optimiert für latenzkritische Apps unter 0,2 ms
Kosteneffizient: zahlen Sie nur für Clean Traffic
Detailliertes Angriffsreporting über Portal oder REST API
Mitigation über BGP / GRE oder L1 / L2 Transport
Kundenspezifische Zonen pro IP

Gameserver-Schutz: Minecraft, FiveM, CS 1.6
Voiceserver-Schutz: TeamSpeak, Mumble
Abdeckung für UDP-, TCP-, GRE- und ICMP-Dienste
Pre-Filter gegen Amplification
Zero-Day-Pattern-Erkennung
Flexible kundenspezifische BPF-Regeln

FAQ

DDoS-Schutz FAQ

Praktische Details zu Preisen, SmartRules, unterstütztem Traffic und Mitigation-Verhalten.

Kontakt

Offene Fragen oder benötigen Sie ein Angebot?

Kontaktieren Sie unser Team, um Ihr Traffic-Profil und Ihre Mitigation-Anforderungen zu besprechen.

Kontakt aufnehmen Looking Glass