Was ist ein DS-Lite Tunnel und was macht der?
Bei dem Wort "Tunnel" hört sich das so ähnlich wie ein VPN an. Und schützt einen ein DS-Lite Tunnel vor DDoS-Attacken?
2 Antworten
![](https://images.gutefrage.net/media/default/user/15_nmmslarge.png?v=1551279448000)
DS-Lite hat mit Tunnel nichts zu tun. DS-Lite wird von den Providern gemacht, wenn sie zu wenige IPv4-Adressen haben. Bei DS-Lite findet auf Provider-Seite ein NAT statt. Das bedeutet, dass die IP-Adresse, mit der Du im Internet unterwegs bist, nicht von Dir allein genutzt wird. Pakete, die an diese IP-Adresse gesendet werden, müssen anhand einer NAT-Tabelle vom Provider-Router auf Deinen Anschluss zugestellt werden. Diese NAT-Tabelle wird dynamisch generiert. Wenn Du surfst, also etwas über das Internet aufrufst, wird ein Eintrag in dieser Tabelle generiert. Greift jemand diese IP-Adresse an, gibt es dafür keinen NAT-Eintrag, sodass die Pakete verworfen werden und nicht bei Dir ankommen.
Stelle Dir vor, Du rufst www.gutefrage.net auf. Das IP-Paket, welches beim Provider ankommt, sieht dann in etwa so aus:
von: 100.64.1.20:1234, an 213.95.206.41:80
Nehmen wir an, ein Nachbar kommuniziert ebenfalls mit www.gutefrage.net. Das Paket sieht dann so aus:
von: 100.64.1.21:2345, an 213.95.206.41:80
Die Absender-Portnummer denkt sich das Endgerät zufällig aus.
Das Paket kommt beim Router an. Da die IP-Adresse 100.64.1.20 im Internet nicht geroutet werden kann, macht der Provider-Router nun NAT. Nehmen wir an, die öffentliche Adresse des Provider-Routers ist 192.0.2.35. Dann sehen die Pakete, welche den Provider-Router in Richtung Internet verlassen, so aus:
von: 192.0.2.35:1234, an 213.95.206.41:80
von: 192.0.2.35:2345, an 213.95.206.41:80
Der Router schreibt sich eine NAT-Tabelle:
100.64.1.20:1234 -> 213.95.206.41:80
100.64.1.21:2345 -> 213.95.206.41:80
Die Adresse 192.0.2.35 ist also diejenige, mit der Du im Internet sichtbar bist. Wenn nun jemand versucht, Deinen Anschluss zu überlasten, sendet der Angreifer IP-Pakete an 192.0.2.35. Der Provider-Router kann diese Pakete nicht an Dich zustellen, weil kein Eintrag in der Tabelle vorhanden ist. Der Angriff kommt nicht bei Dir an.
![](https://images.gutefrage.net/media/user/Noobig/1647623427749_nmmslarge__0_0_160_160_7f828fad18ee7edb96b8daceedaeeadb.png?v=1647623428000)
Die Adresse 192.0.2.35 ist also diejenige, mit der Du im Internet sichtbar bist. Wenn nun jemand versucht, Deinen Anschluss zu überlasten, sendet der Angreifer IP-Pakete an 192.0.2.35. Der Provider-Router kann diese Pakete nicht an Dich zustellen, weil kein Eintrag in der Tabelle vorhanden ist. Der Angriff kommt nicht bei Dir an.
Ein Grund mehr, um sich keinen VPN-Service zu abonnieren, weil der Provider schon einen DDoS-Schutz "kostenlos" bietet.
![](https://images.gutefrage.net/media/user/J0T4T4/1444750593_nmmslarge.jpg?v=1444750593000)
Nein, dein ISP spart sich einfach nur IPv4-Adressen und du kannst nicht so leicht einen Server bei dir hosten ;)