March 29, 2026

7.3 DoS- und DDoS-Angriffe einfach erklärt

DoS- und DDoS-Angriffe gehören zu den wichtigsten Grundlagen der Netzwerksicherheit, weil sie direkt auf eines der zentralen Schutzziele der Informationssicherheit zielen: die Verfügbarkeit. Während viele Sicherheitsmaßnahmen vor Datendiebstahl, Manipulation oder unberechtigtem Zugriff schützen sollen, geht es bei DoS- und DDoS-Angriffen vor allem darum, Dienste, Systeme oder ganze Netzwerke unbenutzbar zu machen. Für Benutzer wirkt das oft einfach wie ein Ausfall: eine Website ist nicht erreichbar, ein VPN reagiert nicht mehr, ein DNS-Dienst antwortet zu langsam oder eine Anwendung bricht unter Last zusammen. Technisch steckt dahinter jedoch häufig ein gezielter Angriff. Für CCNA, Netzwerkpraxis und Cybersecurity ist dieses Thema besonders wichtig, weil DoS und DDoS sehr anschaulich zeigen, wie Netzwerke, Protokolle, Serverkapazität, Routing, Firewalls und Monitoring unter Last reagieren. Wer diese Angriffsformen versteht, kann Leistungsprobleme besser einordnen, Schutzmaßnahmen sinnvoller bewerten und den Unterschied zwischen normaler Überlastung und gezielter Störung klarer erkennen.

Table of Contents

Was DoS und DDoS grundsätzlich bedeuten

DoS steht für Denial of Service

DoS bedeutet Denial of Service, also die Verweigerung eines Dienstes. Gemeint ist damit ein Angriff, bei dem ein System, eine Anwendung oder ein Netzwerkdienst so belastet oder gestört wird, dass legitime Benutzer ihn nicht mehr oder nur noch eingeschränkt nutzen können. Der Angreifer versucht also nicht unbedingt, Daten zu stehlen oder sich anzumelden, sondern die Verfügbarkeit zu zerstören.

Typische Ziele eines DoS-Angriffs sind:

  • Webserver und Webanwendungen
  • DNS-Server
  • Mailserver
  • VPN-Gateways
  • Firewalls und Load Balancer
  • einzelne Router oder Leitungen

Ein DoS-Angriff kann bereits dann erfolgreich sein, wenn ein Dienst für legitime Benutzer spürbar langsamer wird oder gar nicht mehr antwortet.

DDoS steht für Distributed Denial of Service

DDoS bedeutet Distributed Denial of Service. Die Grundidee bleibt dieselbe wie bei DoS: Ein Dienst soll unbrauchbar gemacht werden. Der Unterschied ist die Verteilung des Angriffs. Statt von einer einzigen Quelle auszugehen, kommt der Angriff bei DDoS aus vielen verteilten Systemen gleichzeitig. Genau dadurch wird er deutlich schwerer zu blockieren und kann wesentlich größere Wirkung entfalten.

Wichtige Unterschiede sind:

  • DoS: Angriff meist von einer Quelle oder einem Ursprungssystem
  • DDoS: Angriff von vielen verteilten Quellen gleichzeitig

Diese Verteilung macht DDoS-Angriffe besonders problematisch für öffentlich erreichbare Unternehmensdienste.

Warum DoS- und DDoS-Angriffe so gefährlich sind

Sie treffen direkt die Verfügbarkeit

In der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit die drei klassischen Schutzziele. DoS- und DDoS-Angriffe zielen direkt auf die Verfügbarkeit. Selbst wenn Daten nicht gestohlen und Konfigurationen nicht verändert werden, kann der Schaden erheblich sein, wenn zentrale Dienste nicht erreichbar sind.

Besonders kritisch ist das bei:

  • Online-Shops und Kundenportalen
  • Fernzugriffen über VPN
  • Cloud-Anwendungen und APIs
  • Authentifizierungs- oder DNS-Diensten
  • Kommunikationsplattformen

Für Unternehmen kann schon ein kurzer Ausfall finanzielle, operative oder reputationsbezogene Folgen haben.

Die Auswirkungen gehen oft über den eigentlichen Zieldienst hinaus

Ein DoS- oder DDoS-Angriff betrifft nicht immer nur das unmittelbar angegriffene System. Wenn Bandbreite, Firewalls, Load Balancer oder Routingpfade ausgelastet werden, können auch andere legitime Dienste beeinträchtigt werden. Dadurch wird aus einem Angriff auf einen Dienst schnell ein Problem für mehrere Systeme oder ganze Standorte.

  • Uplinks können überlastet werden
  • Firewalls können an ihre Kapazitätsgrenzen kommen
  • gemeinsam genutzte Infrastruktur kann andere Anwendungen mitbetreffen
  • Monitoring und Incident Response können zusätzlich belastet werden

Wie ein DoS-Angriff grundsätzlich funktioniert

Ein Dienst wird gezielt überfordert oder blockiert

Ein DoS-Angriff nutzt aus, dass jede Infrastruktur begrenzte Ressourcen besitzt. Dazu gehören Bandbreite, CPU, Arbeitsspeicher, Verbindungszustände, Session-Tabellen oder Anwendungslogik. Wenn ein Angreifer diese Ressourcen absichtlich stark beansprucht, kann der eigentliche Dienst für reguläre Nutzer unzugänglich werden.

Typische Ressourcen, die angegriffen werden, sind:

  • Netzwerkbandbreite
  • CPU-Leistung eines Geräts oder Servers
  • Arbeitsspeicher
  • Verbindungs- oder Session-Tabellen
  • Anwendungsprozesse

Der Angriff muss also nicht zwingend „komplex“ sein. Oft reicht es, eine knappe Ressource gezielt zu überlasten.

Nicht jeder DoS-Angriff sieht gleich aus

DoS-Angriffe können auf verschiedenen Ebenen ansetzen. Manche überlasten Leitungen mit sehr viel Verkehr. Andere greifen Protokollmechanismen an, etwa Verbindungsaufbau oder Fragmentierung. Wieder andere zielen direkt auf die Anwendung, etwa durch massenhafte teure Requests an einen Webdienst.

Deshalb ist wichtig: DoS ist keine einzelne Technik, sondern ein Angriffsprinzip mit vielen Varianten.

Typische Arten von DoS- und DDoS-Angriffen

Volumetrische Angriffe

Volumetrische Angriffe versuchen vor allem, die verfügbare Bandbreite eines Ziels oder seines Uplinks zu erschöpfen. Dabei wird sehr viel Datenverkehr erzeugt, damit legitime Verbindungen nicht mehr durchkommen. Diese Form ist besonders sichtbar, weil die Netzlast oft massiv ansteigt.

Typische Merkmale sind:

  • sehr hohe eingehende Traffic-Mengen
  • Überlastung von Uplinks oder Provider-Kapazitäten
  • auch vorgelagerte Infrastruktur kann betroffen sein

In der Praxis sind volumetrische Angriffe oft besonders schwer lokal abzufangen, wenn die verfügbare Internetanbindung bereits vor der Unternehmens-Firewall vollständig ausgelastet wird.

Protokollbasierte Angriffe

Protokollbasierte Angriffe zielen auf Schwächen oder Zustandslogiken in Netzwerk- und Transportprotokollen. Dabei wird nicht unbedingt maximale Bandbreite benötigt. Stattdessen versucht der Angreifer, Zustände, Tabellen oder besondere Protokollverarbeitung zu missbrauchen.

Beispiele dafür sind:

  • massive Verbindungsaufbauversuche
  • Missbrauch von Fragmentierung oder Antwortlogik
  • Überlastung zustandsbehafteter Geräte wie Firewalls

Solche Angriffe sind besonders relevant, weil Firewalls, Load Balancer oder Server oft nicht nur Bandbreite, sondern auch Zustandsinformationen verwalten müssen.

Anwendungsbasierte Angriffe

Anwendungsbasierte DoS-Angriffe setzen auf Layer 7 an, also direkt auf die Anwendung. Ein Webserver kann beispielsweise mit vielen scheinbar legitimen Anfragen belastet werden, die aber sehr ressourcenintensiv sind. Dadurch kann der Dienst zusammenbrechen, obwohl die reine Traffic-Menge gar nicht extrem hoch wirkt.

Typische Beispiele sind:

  • massive HTTP- oder HTTPS-Requests
  • Anfragen an besonders teure Such- oder API-Funktionen
  • Missbrauch von Login- oder Session-Mechanismen

Diese Angriffe sind oft schwerer zu erkennen, weil sie auf den ersten Blick wie normaler Anwendungsverkehr aussehen können.

Der Unterschied zwischen DoS und DDoS in der Praxis

DoS ist begrenzter, DDoS skaliert deutlich stärker

Ein klassischer DoS-Angriff von einer einzelnen Quelle ist technisch einfacher und häufig leichter zu blockieren. Wenn dagegen viele Systeme verteilt und gleichzeitig angreifen, wird die Erkennung und Filterung deutlich schwieriger. Die Last kommt dann nicht nur aus einer Richtung, sondern aus vielen IP-Adressen, Netzen oder sogar Ländern.

  • einzelne Quellen lassen sich leichter blockieren
  • verteilte Quellen erschweren Filterung und Attribution
  • mehrere Angriffsquellen erzeugen höhere Last
  • legitimer und illegitimer Verkehr sind schwerer zu trennen

DDoS-Angriffe nutzen oft kompromittierte Systeme

Viele DDoS-Angriffe basieren auf Botnetzen, also auf vielen kompromittierten Geräten, die zentral oder teilzentral gesteuert werden. Dabei kann es sich um PCs, Server, IoT-Geräte oder andere schwach geschützte Systeme handeln. Für das Opfer wirkt der Verkehr dann wie eine große Menge verteilter Teilnehmer, obwohl diese Teil derselben Angriffsinfrastruktur sind.

Gerade dadurch ist DDoS nicht nur ein Problem des Zielsystems, sondern auch ein Symptom unsicherer Endgeräte weltweit.

Typische Folgen von DoS- und DDoS-Angriffen

Unmittelbare technische Auswirkungen

Die naheliegendste Folge ist die eingeschränkte oder fehlende Erreichbarkeit eines Dienstes. Je nach Ziel und Angriffsart können aber auch viele andere Symptome auftreten.

  • hohe Latenz
  • Timeouts bei Verbindungen
  • Abbrüche von Sitzungen
  • überlastete Firewalls oder Server
  • nicht mehr erreichbare Anwendungen
  • Störungen in angrenzenden Diensten

Für Benutzer erscheint das oft zunächst wie ein gewöhnlicher Ausfall, obwohl die Ursache ein gezielter Angriff sein kann.

Geschäftliche und organisatorische Auswirkungen

In Unternehmen haben DDoS-Vorfälle oft mehr als nur technische Folgen. Ein nicht erreichbarer Dienst kann Kundenbeziehungen stören, Umsätze blockieren, Supportanfragen erhöhen und das Vertrauen in die Stabilität der Umgebung beschädigen. Bei besonders kritischen Diensten kann sogar die operative Handlungsfähigkeit des Unternehmens beeinträchtigt werden.

  • Umsatzausfall
  • Produktivitätsverlust
  • höhere Last im Support
  • Reputationsschäden
  • Störungen in internen Geschäftsprozessen

Wie man DoS und DDoS erkennt

Auffällige Netzlast und ungewöhnliche Verteilung

Ein wichtiges Erkennungsmerkmal ist ungewöhnlich hoher Verkehr oder eine plötzliche Veränderung des Lastprofils. Wenn ein Dienst unter Normalbedingungen stabil läuft und plötzlich massenhaft Anfragen oder Sessions sieht, ist das ein mögliches Warnsignal. Bei DDoS ist zudem typisch, dass viele unterschiedliche Quellen beteiligt sein können.

Hinweise können sein:

  • plötzlicher Anstieg eingehender Verbindungen
  • starke Auslastung von Bandbreite oder CPU
  • viele Quellen mit ähnlichem Verhalten
  • ungewöhnlich viele Anfragen an einen einzelnen Dienst
  • viele halboffene oder abgebrochene Sitzungen

Monitoring ist entscheidend für die Unterscheidung von Angriff und normaler Last

Nicht jede hohe Last ist automatisch ein Angriff. Ein legitimer Lastanstieg durch Kampagnen, Updates, große Downloads oder reale Benutzeraktivität kann ähnlich aussehen. Genau deshalb ist gutes Monitoring so wichtig. Nur wer Normalverhalten kennt, kann Anomalien sauber erkennen.

Hilfreiche Cisco-nahe Prüfungen sind:

show interfaces
show ip interface brief
show access-lists
show logging
show ip route

Diese Befehle zeigen Interface-Zustände, Lastsymptome, Logs, Filterlogik und Routing-Grundlagen. Sie ersetzen keine spezialisierte DDoS-Analyse, helfen aber bei der ersten Einordnung im Netzwerkbetrieb.

Warum bestimmte Dienste besonders häufig betroffen sind

Öffentlich erreichbare Dienste sind natürliche Ziele

DoS- und DDoS-Angriffe richten sich oft gegen Systeme, die öffentlich erreichbar und gleichzeitig geschäftlich relevant sind. Dazu gehören Webportale, Login-Systeme, APIs, Mail-Gateways oder VPN-Zugänge. Der Grund ist einfach: Dort ist die Wirkung besonders sichtbar und der Druck auf das Unternehmen am größten.

  • Websites und Shops
  • Kundenportale
  • DNS-Infrastruktur
  • VPN-Endpunkte
  • Cloud-nahe APIs

Auch interne Dienste können betroffen sein

DoS ist nicht nur ein Internet-Thema. Auch innerhalb eines Unternehmens kann ein kompromittierter Host gezielt interne Dienste stören, etwa DNS, DHCP, Authentifizierung oder Managementsysteme. Gerade in schlecht segmentierten Netzen kann ein interner DoS erhebliche Auswirkungen auf viele Benutzer haben.

Wie man sich gegen DoS und DDoS schützt

Kapazität, Redundanz und sauberes Design

Ein Teil des Schutzes liegt bereits im Architekturdesign. Dienste mit hoher Kritikalität sollten nicht unnötig fragil betrieben werden. Redundante Pfade, verteilte Infrastruktur, Load Balancing und saubere Trennung von Diensten erhöhen die Widerstandsfähigkeit.

Wichtige Maßnahmen sind:

  • redundante Internetanbindungen
  • Lastverteilung über mehrere Systeme
  • Trennung kritischer Dienste
  • stabile DNS- und Authentifizierungsarchitektur
  • Kapazitätsplanung und Reserven

Diese Maßnahmen verhindern Angriffe nicht, können aber ihre Wirkung reduzieren.

ACLs, Rate Limits und vorgelagerte Schutzmechanismen

Je nach Angriffstyp können ACLs, Rate Limits, Schutzmechanismen an Firewalls oder vorgelagerte DDoS-Schutzdienste helfen. Besonders bei volumetrischen Angriffen ist es oft wichtig, Schutz nicht erst im Unternehmensnetz, sondern bereits beim Provider oder in spezialisierten Scrubbing-Diensten anzusetzen.

Typische technische Ansätze sind:

  • Rate Limiting für bestimmte Muster
  • Filterung klar erkennbar bösartiger Quellen oder Protokolle
  • Schutz vor Protokollmissbrauch
  • Traffic-Umlenkung über DDoS-Schutzanbieter

Warum Segmentierung auch bei DoS wichtig ist

Interne Ausbreitung und Folgewirkungen begrenzen

Segmentierung wird oft vor allem mit Vertraulichkeit oder lateraler Bewegung in Verbindung gebracht. Sie ist aber auch für Verfügbarkeit wichtig. Wenn interne Dienste und Benutzerbereiche sauber getrennt sind, kann ein lokaler Last- oder DoS-Vorfall schlechter auf andere Bereiche übergreifen. Gerade in Unternehmensnetzen ist das ein wichtiger Stabilitätsfaktor.

  • kritische Dienste von Benutzerlast trennen
  • Managementnetze isolieren
  • Gast- und IoT-Netze gesondert behandeln
  • Ressourcenkonflikte zwischen Zonen reduzieren

Verfügbarkeit ist auch ein Architekturthema

DoS-Resistenz hängt also nicht nur von Filtern ab, sondern auch davon, wie sauber ein Netz aufgebaut ist. Wer kritische Dienste in denselben Zonen wie unkontrollierte Clients betreibt, erhöht unnötig die Angriffsfläche und die Wahrscheinlichkeit kollateraler Ausfälle.

Typische Missverständnisse über DoS und DDoS

„Mehr Traffic bedeutet immer DDoS“

Ein häufiger Fehler ist, jeden Lastanstieg sofort als DDoS zu interpretieren. In der Praxis kann erhöhte Last viele Ursachen haben: legitime Benutzer, Marketingaktionen, Softwareupdates, Fehlkonfigurationen oder Schleifen im Netzwerk. Gute Analyse trennt Auffälligkeit von gesichertem Angriff.

„Nur große Internetfirmen sind betroffen“

Auch kleinere Unternehmen, Bildungseinrichtungen, Behörden oder interne Dienste können von DoS oder DDoS betroffen sein. Das Ziel muss nicht immer ein großer Internetkonzern sein. Schon ein mittelgroßes Unternehmen mit einem zentralen VPN oder einem öffentlich erreichbaren Webportal kann erheblich beeinträchtigt werden.

Warum dieses Thema für CCNA und Cybersecurity unverzichtbar ist

DoS und DDoS machen Netzwerksicherheit sehr greifbar

Kaum ein Thema zeigt so direkt, warum Bandbreite, Zustandsverwaltung, Redundanz, Segmentierung und Monitoring wichtig sind. DoS- und DDoS-Angriffe verbinden Protokollverständnis, Infrastrukturdesign und Sicherheitsziele auf sehr anschauliche Weise.

  • Verfügbarkeit wird als Schutzziel konkret sichtbar
  • Netzwerkgrenzen und Kapazitäten werden relevant
  • Schutzmaßnahmen müssen technisch und organisatorisch zusammenspielen

Wer DoS und DDoS versteht, bewertet Verfügbarkeit professioneller

Am Ende geht es nicht nur um Angriffsbegriffe, sondern um ein tieferes Verständnis dafür, wie Netzwerke unter Last reagieren und warum Schutz von Verfügbarkeit ein zentraler Teil professioneller Sicherheit ist. Wer DoS- und DDoS-Angriffe sauber einordnen kann, versteht Netzwerksicherheit ganzheitlicher und erkennt schneller, warum Architektur, Monitoring und Betriebssorgfalt so wichtig sind.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

23.8 Moderne Sicherheitskonzepte im Überblick zusammengefasst

Anhang E → Zusätzliche Lernressourcen für Cybersecurity und Cisco

24.1 Multiple-Choice-Fragen zu den Grundlagen der Cybersecurity mit Lösungen

24.2 Fragen zu Netzwerkprotokollen und Angriffen mit Lösungen

24.3 Fragen zu ACLs und Segmentierung mit ausführlichen Lösungen

24.4 Fragen zu Firewalls und IDS/IPS mit Lösungen

24.5 Fragen zu Kryptografie und Zugriffskontrolle mit Lösungen

24.6 Fragen zu Monitoring und Incident Response mit Lösungen

24.7 Ausführliche Lösungen zu allen CCNA-Cybersecurity-Fragen

24.8 Lernerfolg bewerten: Deinen Cybersecurity-Fortschritt richtig prüfen

Fazit → CCNA Cybersecurity erfolgreich lernen: Die wichtigsten Erkenntnisse auf einen Blick

Botschaft an die Leser → Dein Weg in die Cybersecurity beginnt jetzt