Tools und Methoden für
Big, Smart und Fast Data
Karlsruhe, IHK, 29. September - 1. Oktober 2015

data2day 2015 » Programm »

DDoS-Frühwarnsystem: Herausforderungen und Implementierung

Die 8ack GmbH betreibt ein DDoS-Frühwarnsystem, das aus einer dreistelligen Anzahl an Honeypots/Honeybots besteht, die wiederum in Angreifer/Botnetze integriert sind und Angriffe in Echtzeit melden. Das Frühwarnsystem besteht aus mehreren modularen Komponenten (Logstash, Redis, Lua, Elasticsearch), die untereinander gepuffert sind und sicherstellen sollen, das Angriffe in Echtzeit gemeldet werden können, andererseits eine spätere Auswertung und Analyse der Daten ermöglichen. Über zusätzlich angeschlossene Redis-Datenbanken werden individualisierte Live-Datafeeds für verschiedene Kunden bereitgestellt.

Das System ist in der Lage, ca. 10 Mio. Angriffe/Minute problemlos zu verarbeiten. Um die hohe Last an parallelen Anfragen zu bearbeiten, kommt als Alarmierungssystem eine REST-Schnittstelle mit Nginx und Lua zum Einsatz, um auch in Peak-Zeiten performant Anfragen zu beantworten.

Der Vortrag beschreibt Setup und Betrieb der Infrastruktur, beleuchtet die Probleme, die aufgetreten sind, und warum welche Lösungen jeweils gefunden und ausgewählt wurden.

Skills
Interesse an innovativer Verarbeitung mehrerer paralleler, stark schwankender Datenströme.

Lernziele
Um die Ecke denken und Wissen, um verschiedene Lösungsansätze führt zu ausgefallenen, aber funktionierenden und performanten Systemen.

// Referent

// Markus Manzke Markus Manzke

konzipiert, betreut, schützt und hackt seit 1998 Webserver-Infrastrukturen von klein bis mittelgroß. Im Rahmen der 8ack-Honeypot-Infrastruktur kommt der ELK-Stack zur Auswertung, Alarmierung und Analyse zum Einsatz und ist mittlerweile soweit ausgebaut, dass 10 Mio. Loglines/Minute verarbeitet werden können.