DDoS-Angriffe zu erkennen ist in den meisten Netzwerken heute kein großes Problem mehr. Die eigentliche Herausforderung ist, schnell und sauber darauf zu reagieren. Genau hier setzt flowwler an.
flowwler empfängt NetFlow, IPFIX oder sFlow Daten, erkennt Anomalien und reagiert automatisch darauf. Anstatt eine einmalige Entscheidung zu treffen, arbeitet das System mit einer klaren Eskalationslogik. Mit zunehmender Intensität oder veränderten Mustern eines Angriffs wird die Mitigierung schrittweise angepasst.
Das reicht von reiner Erkennung über gezielte FlowSpec-Regeln bis hin zu Blackholing, wenn es notwendig wird. Dabei wird FlowSpec sowohl für IPv4 als auch IPv6 genutzt, um möglichst granular nur den tatsächlichen Angriff zu filtern.
Ein wichtiger Aspekt ist dabei die Sicht auf bereits verworfenen Traffic auf Router-Seite. Dadurch lässt sich erkennen, wie effektiv eine Maßnahme ist und ob Regeln weiter optimiert werden sollten.
Die Integration in bestehende Infrastrukturen ist bewusst einfach gehalten. Subnetze können automatisch aus AS-SETs, NetBox oder externen Quellen übernommen werden. Für neue oder ungewöhnliche Angriffsmuster schlägt flowwler passende FlowSpec-Regeln für betroffene Ziel-IPs vor, sodass schnell reagiert werden kann, ohne lange Analysephasen.
Auch im Betrieb bleibt das System überschaubar. Es gibt ein Web-Interface für die schnelle Übersicht sowie einen CLI-Client für den operativen Einsatz. Benachrichtigungen lassen sich direkt in bestehende Systeme integrieren und über Prometheus stehen umfangreiche Metriken zur Verfügung.
Ein weiterer Vorteil ist das Lizenzmodell: flowwler wird als Organisationslizenz bereitgestellt, unabhängig von Bandbreite oder Netzwerkgröße. Das macht die Nutzung planbar und vermeidet künstliche Limits.
flowwler ist bewusst kein Analyse-Tool, sondern schließt die Lücke zwischen Erkennung und Mitigierung. Ziel ist ein einfaches, nachvollziehbares System, das im Hintergrund zuverlässig reagiert, wenn es darauf ankommt.
