Was ist ein DS-Lite Tunnel und was macht der?
Bei dem Wort "Tunnel" hört sich das so ähnlich wie ein VPN an. Und schützt einen ein DS-Lite Tunnel vor DDoS-Attacken?
2 Antworten
DS-Lite hat mit Tunnel nichts zu tun. DS-Lite wird von den Providern gemacht, wenn sie zu wenige IPv4-Adressen haben. Bei DS-Lite findet auf Provider-Seite ein NAT statt. Das bedeutet, dass die IP-Adresse, mit der Du im Internet unterwegs bist, nicht von Dir allein genutzt wird. Pakete, die an diese IP-Adresse gesendet werden, müssen anhand einer NAT-Tabelle vom Provider-Router auf Deinen Anschluss zugestellt werden. Diese NAT-Tabelle wird dynamisch generiert. Wenn Du surfst, also etwas über das Internet aufrufst, wird ein Eintrag in dieser Tabelle generiert. Greift jemand diese IP-Adresse an, gibt es dafür keinen NAT-Eintrag, sodass die Pakete verworfen werden und nicht bei Dir ankommen.
Stelle Dir vor, Du rufst www.gutefrage.net auf. Das IP-Paket, welches beim Provider ankommt, sieht dann in etwa so aus:
von: 100.64.1.20:1234, an 213.95.206.41:80
Nehmen wir an, ein Nachbar kommuniziert ebenfalls mit www.gutefrage.net. Das Paket sieht dann so aus:
von: 100.64.1.21:2345, an 213.95.206.41:80
Die Absender-Portnummer denkt sich das Endgerät zufällig aus.
Das Paket kommt beim Router an. Da die IP-Adresse 100.64.1.20 im Internet nicht geroutet werden kann, macht der Provider-Router nun NAT. Nehmen wir an, die öffentliche Adresse des Provider-Routers ist 192.0.2.35. Dann sehen die Pakete, welche den Provider-Router in Richtung Internet verlassen, so aus:
von: 192.0.2.35:1234, an 213.95.206.41:80
von: 192.0.2.35:2345, an 213.95.206.41:80
Der Router schreibt sich eine NAT-Tabelle:
100.64.1.20:1234 -> 213.95.206.41:80
100.64.1.21:2345 -> 213.95.206.41:80
Die Adresse 192.0.2.35 ist also diejenige, mit der Du im Internet sichtbar bist. Wenn nun jemand versucht, Deinen Anschluss zu überlasten, sendet der Angreifer IP-Pakete an 192.0.2.35. Der Provider-Router kann diese Pakete nicht an Dich zustellen, weil kein Eintrag in der Tabelle vorhanden ist. Der Angriff kommt nicht bei Dir an.
Die Adresse 192.0.2.35 ist also diejenige, mit der Du im Internet sichtbar bist. Wenn nun jemand versucht, Deinen Anschluss zu überlasten, sendet der Angreifer IP-Pakete an 192.0.2.35. Der Provider-Router kann diese Pakete nicht an Dich zustellen, weil kein Eintrag in der Tabelle vorhanden ist. Der Angriff kommt nicht bei Dir an.
Ein Grund mehr, um sich keinen VPN-Service zu abonnieren, weil der Provider schon einen DDoS-Schutz "kostenlos" bietet.
Nein, dein ISP spart sich einfach nur IPv4-Adressen und du kannst nicht so leicht einen Server bei dir hosten ;)