Infrastruktur
Eine Anti-DDoS-Architektur für saubere Traffic-Rückgabe
Peeryx kombiniert adaptive Mitigation, mehrere Delivery-Modelle und einen klaren Netzwerkpfad, damit bestehende Umgebungen geschützt werden, ohne zur Blackbox zu werden.
Adaptive Mitigation auf Basis realen Traffics und produktiver Zwänge
Integration kompatibel mit BGP, GRE, IPIP, VXLAN, Cross-Connect und Router-VM
Sauberer Traffic wird je nach Topologie, Ziellatenz und gewünschtem Kontrollgrad zurückgegeben
Architektur für Betreiber, Hoster, Gaming, SaaS und kritische Dienste
Peeryx-Infrastruktur
Eine Anti-DDoS-Architektur, die entwickelt wurde, um Traffic aufzunehmen, zu filtern und sauber zurückzugeben
Die Peeryx-Infrastruktur ist als vollständige Kette aufgebaut: Netzexposition, Mitigation, Handoff-Entscheidungen, saubere Traffic-Zustellung und laufender Betrieb. Ziel ist es, das Bestehende mit einem lesbaren Modell zu schützen, nicht eine Blackbox aufzuzwingen.
- Klare Sicht auf den Traffic-Pfad vom Internet-Edge bis zur Produktion
- Mehrere Delivery-Modelle je nach benötigter Netzwerkkontrolle
- Passende Positionierung für bereits produktive Umgebungen
- Konkrete Erklärung, was Peeryx schützt und wie
Peeryx Netzwerk-Blueprint
Von exponiertem Traffic zu sauberem Traffic
Ein lesbares Modell: geschützter Ingress, Mitigation, Handoff-Entscheidung und saubere Zustellung passend zur Topologie.
Geschützter Ingress
Gezielte Mitigation
Saubere Zustellung
Den Angriff am richtigen Punkt abfangen
Ziel ist es, den Angriff abzufangen, bevor die Produktion leidet, indem Mitigation auf der richtigen Ebene der Netzexposition ansetzt.
Upstream-Entlastung, wenn sie sinnvoll ist
Upstream-Filtering kann lokale Mitigation ergänzen, wenn das Angriffsvolumen es wirklich verlangt, ohne zur einzigen Antwort auf jedes Ereignis zu werden.
Sauberer Handoff zurück zur Produktion
Cross-Connect, Tunnel oder Router-VM sind Integrationsentscheidungen. Peeryx behandelt sie als Designwerkzeuge, nicht als auferlegte Einschränkungen.
Lesbarer Betrieb für den Kunden
Der Kunde soll verstehen können, was eintritt, was gefiltert wird, was zurückkommt und was unter eigener Netzwerkkontrolle bleibt.
Mitigationskapazität
15+ Tbps
Transit-Bereitstellungsmodelle
5
Schutzebenen
L3 / L4 / L5 / L7
Kostenloser Test
24h
Architekturprinzipien
Eine glaubwürdige Anti-DDoS-Architektur wird auch am Betrieb gemessen
Rohkapazität ist wichtig, aber nicht ausreichend. Eine seriöse Plattform muss auch Eintrittspunkte, Mitigationsmodell, Handoff-Design und den laufenden Betrieb für den Kunden verständlich machen.
Sicht auf den Traffic-Pfad
Der Kunde sollte verstehen, wo Traffic eintritt, wo er gefiltert wird und wie sauberer Traffic zur Produktion zurückkehrt.
Upstream-Entlastung wenn sie sinnvoll ist
Upstream-Logik soll bei Extremvolumen helfen, ohne zur einzigen Antwort auf jedes Angriffsmuster zu werden.
Handoff passend zur Topologie
Ein gutes Design zwingt nicht jedem Kunden dasselbe Modell auf: Tunnel, BGP, Cross-Connect, geschützte IPs oder hybride Ansätze.
Production-first
Der Dienst soll das schützen, was bereits läuft, den Betrieb handhabbar halten und unnötige undurchsichtige Abhängigkeiten vermeiden.
Traffic-Pfad
Von öffentlicher Exponierung zu sauberem Traffic: die Schlüsselschritte
Die Mitigationskette von Peeryx soll für ein technisches Team lesbar bleiben: Eintrittspunkt, Beobachtung, Filterung, Handoff und Rückgabe an die Produktion.
1. Netzexposition
Präfixe werden per BGP angekündigt oder Dienste über geschützte IPs exponiert – abhängig von Rollout-Geschwindigkeit und gewünschter Kontrolle.
2. Beobachtung legitimen Traffics
Nützlicher Traffic dient als Baseline, um normale Muster zu verstehen, False Positives zu senken und sauberere Mitigationsentscheidungen zu treffen.
3. Adaptive Filterung
Angriffssignaturen werden mit dem realen Dienstverhalten korreliert, damit der Angriff blockiert wird, ohne legitime Nutzung zu beschädigen.
4. Handoff und Zustellung
Sauberer Traffic wird je nach Design per Cross-Connect, GRE, IPIP, VXLAN oder Router-VM zurückgegeben.
5. Laufender Betrieb
Das Modell bleibt dokumentierbar und verständlich: Ihr Team weiß, was geschützt ist, was zurückgegeben wird und was lokal gesteuert bleibt.
Mitigation-Fabric
Der Traffic gelangt in eine Mitigation-Schicht, die volumetrische und protokollbasierte Angriffe absorbieren und legitimen Traffic erkennen soll, bevor etwas zurück in die Produktion geht.
Datacenter- oder Tunnel-Delivery
Je nach Topologie kann sauberer Traffic per Cross-Connect, GRE, IPIP, VXLAN oder Router-VM zurückgeliefert werden, damit das Integrationsmodell zur bestehenden Umgebung passt.
Interconnection-Modell
Peeryx passt sowohl zu vollständigen BGP-Szenarien als auch zu Architekturen, bei denen eine bereits produktive Umgebung geschützt werden soll, ohne alles rund um ein neues Edge-Design neu zu bauen.
Operative Resilienz
Eine ernsthafte Anti-DDoS-Architektur endet nicht beim Filtern. Sie muss auch für den Betrieb nachvollziehbar bleiben, sinnvolle Routing-Entscheidungen erhalten und legitimen Traffic sauber zurückgeben.
Anti-DDoS-Architektur
Was eine glaubwürdige Anti-DDoS-Architektur kontrollieren muss
Eine ernsthafte Anti-DDoS-Infrastruktur ist mehr als reine Kapazitätszahlen. Sie muss Ingress, Filterentscheidung, Observability und die saubere Rückgabe des Traffics bis zur nutzbaren Ebene kontrollieren.
Ingress-Kapazität und echte Reserve
Das Design muss volumetrische Angriffe aufnehmen und gleichzeitig operative Reserve für Signalisierung, sauberen Rückverkehr und Gesamtstabilität behalten.
Lesbarer Filtering-Hot-Path
Die Mitigationslogik muss effizient, vorhersehbar und mit fortgeschrittenen Policies kompatibel bleiben, ohne den Betrieb zur Blackbox zu machen.
Observability nach dem Entscheidungspunkt
Eine gute Architektur trennt den schnellen Drop-Pfad von der Sichtbarkeit, die zum Verstehen von Angriffen, Tunen von Regeln und Upstream-Eskalation nötig ist.
Sauberer Rückweg zum Dienst
Legitimer Traffic muss zur richtigen Ebene zurückkehren: Server, Proxy, Cluster oder Backbone, mit einem Handoff-Modell, das zur realen Produktion passt.
Was Peeryx in Produktion erhalten will
Was Peeryx in Produktion erhalten will
Peeryx kombiniert adaptive Mitigation, mehrere Delivery-Modelle und einen klaren Netzwerkpfad, damit bestehende Umgebungen geschützt werden, ohne zur Blackbox zu werden.
- Eine klare Lesbarkeit des Netzpfads zwischen Ingress, Mitigation und sauberer Auslieferung
- Stabile Latenz und ein Handoff-Modell passend zum tatsächlich exponierten Dienst
- Eine saubere Trennung zwischen Upstream-Schutz, Custom-Logik und Anwendungsschicht
- Einen Pfad zur Upstream-Entlastung, wenn das Volumen zusätzliches Grobfiltering erfordert
Blog
Technische Leitfäden und Architektur-Notizen
Inhalte für technische Käufer: Delivery-Modelle, Schutz bereits produktiver Infrastruktur, Latenz, asymmetrisches Routing und Auswahlkriterien vor dem Kauf.
Wie mitigiert man einen DDoS-Angriff von mehr als 100Gbps?
Link, PPS, CPU, Upstream-Entlastung und sauberer Handoff: der echte Rahmen glaubwürdiger 100Gbps-Mitigation.
Artikel lesenSauberer Anti-DDoS-Traffic: warum die Rückgabe genauso wichtig ist wie die Mitigation
Viele Seiten sprechen über Mitigationskapazität und viel weniger über saubere Traffic-Rückgabe. Dabei endet ein glaubwürdiges Anti-DDoS-Design nicht beim Scrubbing: legitimer Traffic muss weiterhin korrekt an das richtige Ziel zurückgeliefert werden.
Artikel lesenAnti-DDoS-Upstream-Vorfilterung: wann man sie nutzt und warum sie alles verändert
Anti-DDoS-Upstream-Vorfilterung ist keine magische Schicht. Richtig eingesetzt entfernt sie offensichtliches Rauschen früh, schützt Links und gibt den intelligenten Schichten genug Luft zum Arbeiten.
Artikel lesenDedizierter Anti-DDoS-Filterserver: wann ist er der beste Kompromiss?
Ein dedizierter Anti-DDoS-Filterserver nimmt Druck von der Produktion, erlaubt feinere Logik und gibt mehr Kontrolle über die saubere Traffic-Rückgabe. Er ist nicht immer Pflicht, aber oft der beste Mittelweg zwischen Kosten und Flexibilität.
Artikel lesenLatenz, Asymmetrie und saubere Traffic-Zustellung
Warum Traffic-Pfad, lokaler Egress und Handoff-Modell genauso wichtig sind wie reine Mitigationskapazität.
Artikel lesenGaming Anti-DDoS: warum generische Filterung nicht immer ausreicht
Gaming braucht nicht nur Volumenabsorption. Es braucht auch Schutz der Spielererfahrung, geringe Fehlpositiv-Raten und den Umgang mit Protokollverhalten, das nicht wie ein normales Web-Frontend aussieht.
Artikel lesenPeeryx FAQ
Muss ich meine gesamte Infrastruktur migrieren, um Peeryx zu nutzen?
Nein. Peeryx kann bereits produktive Infrastruktur per BGP, geschützten IPs, Tunneln, Cross-Connect oder Router-VM schützen – je nach Topologie.
Ist asymmetrisches Routing mit dieser Architektur kompatibel?
Ja. Peeryx kann den Inbound-Pfad übernehmen, während lokaler Egress an anderer Stelle bleibt, wenn das Latenz, Kosten oder Betrieb verbessert.
Ist ein Cross-Connect verpflichtend?
Nein. Er kann in manchen Datacenter-Umgebungen sinnvoll sein, aber Peeryx unterstützt auch GRE, IPIP, VXLAN und Router-VM, um Flexibilität zu erhalten.
Warum die Architektur so detailliert erklären?
Weil eine lesbare Architektur Missverständnisse reduziert, technische Teams beruhigt und schneller zeigt, ob Peeryx wirklich zur bestehenden Umgebung passt.
Muss die Peeryx-Infrastruktur meine Applikationslogik oder mein Custom-Filtering ersetzen?
Nein. Peeryx kann die Upstream-Schicht schützen und sauberen Traffic an die eigene Netzwerk- oder Applikationslogik zurückgeben. Ziel ist mehr Anti-DDoS-Schutz ohne kompletten Stack-Ersatz.
Warum ist Observability in einer Anti-DDoS-Architektur wichtig?
Weil wirksame Mitigation auch operativ beherrschbar bleiben muss. Zu verstehen, was gefiltert wird, was noch durchkommt, wann upstream eskaliert werden sollte und wie Policies angepasst werden, ist langfristig entscheidend.
Teilen Sie Ihre Architektur und Netzwerkzwänge
Beschreiben Sie Präfixe, Konnektivität, Egress-Punkte, Ziellatenz und die gewünschte Rückgabe sauberen Traffics. Wir kommen mit einem belastbaren Integrationsdesign zurück.