NaWas werkt hard aan een “distributed network architecture” die in zoveel mogelijk Europese landen beschikbaar zal zijn. Bij de NaWas kun je een overzicht opvragen met alle beschikbare locaties.
Alle partijen met een eigen AS-nummer kunnen zich aansluiten bij de NaWas.
Om aan te sluiten op de NaWas moet bij een van de volgende partijen een poort beschikbaar zijn: AMS-IX, NL-ix, LINX, NetIX, Top-IX, MIX, VIX. Met een cloud interconnect van DCspine, Epsilon of Megaport kun je ook aansluiten op de NaWas. Het aantal partijen die toegang biedt tot NaWas groeit snel.
Allereerst is de NaWas (NBIP) een non-profit stichting die is opgericht door de internetgemeenschap en technische vakspecialisten. Dit betekent dat de werking en aansluiting gemakkelijk door de doelgroep te begrijpen zijn. Het doel is om het internet veiliger te maken. Door je aan te sluiten bij de NaWas maak ook jij het internet een stukje veiliger. De deelnemers van NBIP bekostigen de NaWas zelf, waardoor de kosten zo laag mogelijk blijven.
NaWas participeert in meerdere initiatieven, zoals bijvoorbeeld nomoreddos.org en deelt kennis met eigen deelnemers en meerdere universiteiten, zoals de Universiteit Twente (UT). Daarnaast levert NaWas ook een bijdrage aan de ontwikkeling van non-profit instituten als het DDoS ClearingHouse nomoreddos.org.
De NaWas infrastructuur is ontwikkeld als een on-demand service. Na detectie van een aanval wordt het verkeer via BGP naar de hardware van NaWas geleid en daarna start het mitigatieproces. We leiden het verkeer om via onze eigen verbindingen. Dat betekent dat je zelf niet hoeft te investeren in extra capaciteit, waardoor je kosten zult besparen. Na de aanval wordt het verkeer weer teruggeleid, zodat het niet meer via de NaWas loopt. De NaWas hoeft hierdoor alleen ingericht te worden op basis van aanvalsverkeer, waardoor de kosten laag blijven. Momenteel onderzoekt NaWas de mogelijkheden van het aanbieden van een always-on oplossing.
Het migitatieproces start enkele minuten minuten nadat het verkeer is omgeleid naar de hardware van NaWas.
Het detecteren van aanvallen kan handmatig of via een automatische tool plaatsvinden. NaWas adviseert tooling te installeren omdat aanvallen ook buiten werktijd en in het weekend gebeuren. NaWas heeft goede ervaring met GenieATM. NaWas deelnemers kunnen deze oplossing afnemen via de NaWas. Daarnaast wordt de mogelijkheid onderzocht om de dienst Detectie als hosted oplossing aan te bieden.
NaWas behoort tot de grootste anti-DDoS-scrubbingcenters van Europa. Maar belangrijker is hoe groot en talrijk de connecties van onze deelnemers en het netwerk zijn. Dit bepaalt namelijk hoe efficiënt NaWas de aanvallen kan verwerken.
NaWas beschikt over twee redundante set-ups in geografisch gescheiden datacenters.
Afgezet tegen het OSI-model kan NaWas DDoS-verkeer op alle lagen mitigeren. Laag 7 (application layer) zal NaWas mitigeren op basis van header fields en niet door (deep) packet inspection.
NaWas gebruikt een multi-vendor set-up waarbij meerdere Triple A vendor devices in lijn (trechter) staan opgesteld. De werking is vergelijkbaar met een carwash, waarbij meerdere apparaten achter elkaar eerst het ruwe deel en later de kleinere delen wassen, dus ontdoen van aanvalsverkeer. NaWas innoveert de anti-DDoS-oplossing voortdurend en past steeds de meest effectieve en nieuwste technieken toe.
Het prijsmodel bestaat uit een flat-fee model. De prijs wordt bepaald door het aantal prefixen (gebaseerd op /24) dat je wilt beschermen. Je betaalt iets meer voor grotere aantallen. De prijzen worden gefactureerd op maand,- kwartaal- of jaarbasis.
Naast de fee voor NaWas betaal je een kleine maandelijkse bijdrage voor het NBIP-lidmaatschap en een eenmalige bijdrage voor de set-up. Vanwege het non-profit karakter van de diensten zijn de kosten laag in vergelijking met vergelijkbare services van andere aanbieders.
NaWas heeft een BGP-sessie met de deelnemers aan de schone kant (met IXP’s) op een privé VLAN. Een lid kan een specifiek prefix of / 24 omleiden door die prefix op de NaWas BGP-sessie te adverteren. NaWas adverteert de prefix op onze upstreams (transits & peering). Dus de trigger voor redirecting wordt handmatig of geautomatiseerd door de deelnemers gedaan. Na het ontvangen van een prefix of het ontvangen van een nieuwe DDoS-aanval op een bestaande prefix, ontvangen de engineers van NaWas een melding van het event. zij controleren of de aanval goed genoeg wordt gemitigeerd en of aanpassing noodzakelijk is.
Ja, kleiner dan een /24 wordt door het internet niet geaccepteerd.
In principe is er geen packet loss. Partijen die de more specific nog niet kennen volgen de lesser specific. Het leren van de more specific gaat overigens heel snel en dat is binnen enkele seconden.
Hoe meer partijen de more specific kennen, hoe meer het aanvalsverkeer verdwijnt. We gaan ervan uit dat er nog wel steeds schoon verkeer doorheen gaat. Verder hangt het heel erg van het type aanval af in hoeverre de mitigatiesystemen het foute verkeer gelijk kunnen verminderen. De meeste aanvallen worden gelijk gemitigeerd. In sommige gevallen kan het enkele seconden duren. In enkele gevallen kan een deel van het aanvalsverkeer onder een bepaalde drempelwaarde alsnog worden doorgelaten. Mocht dat het geval zijn, dan is het advies om zo snel mogelijk contact met NaWas op te nemen als het restverkeer overlast veroorzaakt. Na adverteren zal binnen een seconde het verkeer via de NaWas lopen en kan het enkele seconden duren voor het hele internet de route kent.