DDoS-Mitigation auf Layer 4: Scrubbing, Anycast und Trade-offs

DDoS-Mitigation auf Layer 4 ist für viele Organisationen der Unterschied zwischen „kurzer Störung“ und „stundenlangem Ausfall“. Denn Layer-4-Angriffe treffen nicht nur Bandbreite, sondern häufig die Verbindungs- und Zustandslogik: SYN-Floods, UDP-Floods, Reflection/Amplification, ACK/RST-Floods oder Connection-Exhaustion können Firewalls, Load Balancer, NAT-Gateways und Host-Stacks überfordern – selbst dann, wenn die reine Leitungskapazität noch nicht vollständig ausgelastet ist. In der Praxis stehen Teams vor einer strategischen Entscheidung: Wird Traffic großflächig im Netz „abgefangen“ (Scrubbing), wird Last durch Routing-Architektur verteilt (Anycast), oder werden beide Ansätze kombiniert? Jede Option bringt Trade-offs bei Latenz, Kosten, Komplexität, Sichtbarkeit, False Positives und operativer Reaktionsfähigkeit. Dieser Artikel erklärt, wie Scrubbing und Anycast auf Layer 4 funktionieren, welche Signale in der Telemetrie die richtige Maßnahme nahelegen und welche Fallstricke bei der Umsetzung besonders häufig sind. Ziel ist ein belastbarer, operativer Blick: nicht „welche Marketingfolie klingt gut“, sondern welche Architektur in realen Incidents stabil bleibt, wie man sie testet und wie man sie so betreibt, dass Sicherheit und Verfügbarkeit zusammenarbeiten.

Was „Layer 4“ in der DDoS-Praxis bedeutet

Layer 4 (Transport) umfasst Protokolle wie TCP und UDP – und damit Ports, Verbindungen, Session-Zustände und Flows. Viele Abwehrmechanismen bauen genau hier an, weil die meisten volumetrischen und state-basierten Angriffe bereits auf Transportebene sichtbar sind. Grundlegende Spezifikationen finden Sie in RFC 9293 (TCP) und RFC 768 (UDP).

• Volumetrisch: bps (Bytes pro Sekunde) sättigen Links oder Interfaces.
• pps-lastig: viele kleine Pakete überfordern Paketverarbeitung, CPU, Interrupts.
• state-lastig: Verbindungs- oder Flow-States (Firewall-Sessiontable, NAT, LB-Conn-Tables) laufen voll.

Warum DDoS-Mitigation auf Layer 4 anders ist als „mehr Bandbreite kaufen“

Bandbreite hilft gegen reine Sättigung, aber sie löst weder pps-Engpässe noch State-Exhaustion. Ein Beispiel: Ein UDP-Flood mit sehr kleinen Paketen kann bei moderaten bps extrem hohe pps erzeugen. Die Relation lässt sich vereinfacht ausdrücken:

$\mathrm{pps}=\frac{\mathrm{bps}}{\mathrm{BytesProPaket}\times 8}$

Je kleiner BytesProPaket, desto größer pps bei gleicher Bandbreite. Gleichzeitig entstehen bei TCP-Angriffen oft Handshake- oder Sessionzustände, die pro Eintrag Memory und CPU kosten. Deshalb ist „Kapazität“ mehrdimensional: bps, pps und State müssen getrennt betrachtet werden.

Scrubbing: Was es ist und wie es auf Layer 4 wirkt

Scrubbing bedeutet, dass DDoS-Traffic vor Ihrem Perimeter durch eine Infrastruktur geleitet wird, die darauf spezialisiert ist, bösartigen Traffic zu erkennen und herauszufiltern. Das kann beim Provider, in einem Scrubbing-Center oder als Cloud-Dienst erfolgen. Technisch wird häufig per BGP (Umleitung Ihres Präfixes), GRE-Tunnel oder ähnlichen Mechanismen Traffic zum Scrubber geführt, dort bereinigt und anschließend zum Origin zurückgegeben.

• Stärke: Sehr hohe Skalierung gegen volumetrische und pps-Angriffe, weil der Scrubber näher am „Internet-Rand“ sitzt.
• Stärke: Schnelle Filterung von Reflection/Amplification (z. B. DNS/NTP/SSDP), bevor Ihre Links voll laufen.
• Risiko: Falsch positives Filtern kann legitime Nutzer treffen, wenn Profile zu aggressiv sind.
• Trade-off: Zusätzliche Latenz durch Umleitung, insbesondere bei globalen Nutzergruppen.

Scrubbing-Mechaniken: Always-on vs. On-demand

In der Praxis gibt es zwei Betriebsmodelle, die jeweils andere Risiken haben:

• Always-on: Traffic läuft permanent über den Scrubber. Vorteil: keine Umschaltzeit, konsistente Sichtbarkeit, weniger Risiko beim „Rampen-up“. Nachteil: dauerhafte Abhängigkeit, laufende Kosten und potenziell dauerhafte Zusatzlatenz.
• On-demand: Umleitung wird erst bei Angriff aktiviert. Vorteil: normaler Betrieb bleibt „direkt“. Nachteil: Aktivierungszeit (BGP-Konvergenz, Tunnel-Build), Incident-Komplexität, höhere Gefahr, dass der Angriff bereits Schaden anrichtet, bevor Mitigation greift.

Scrubbing auf Layer 4: Typische Filterlogik

Auf Transportebene arbeiten Scrubber häufig mit Kombinationen aus Signatur-, Statistik- und Verhaltensmodellen. Wichtig ist, dass diese Logik häufig stateless beginnt (billig) und erst bei Bedarf stateful oder tiefer inspiziert (teurer).

• Stateless ACLs: Port-/Protokoll-Filter, Blocklisten, Geo/ASN-Filter, Paket-Header-Anomalien.
• Rate Limits: pps- oder CPS-Limits pro Quellnetz, pro Zielport, pro Ziel-IP.
• SYN-Protection: SYN-Proxying oder SYN-Cookies-ähnliche Mechaniken, um halboffene States zu reduzieren.
• Reflection-Erkennung: Muster wie „viele Quellen, wenige Ziele“ und typische Antwortprofile.

Anycast: Was es ist und warum es bei Layer 4 attraktiv ist

Anycast bedeutet, dass dieselbe IP-Adresse (oder dasselbe Präfix) von mehreren, geografisch verteilten Standorten (PoPs) angekündigt wird. Routing (meist BGP) sorgt dafür, dass Nutzer typischerweise zum „nächsten“ oder „besten“ Standort gelangen. In DDoS-Szenarien ist der Kernvorteil: Angriffstraffic verteilt sich ebenfalls – er wird nicht an einem einzigen Edge konzentriert.

• Stärke: Lastverteilung über mehrere PoPs; ein einzelner Standort wird seltener zum Single Point of Failure.
• Stärke: Gute Resilienz für UDP-basierte Dienste (z. B. DNS), weil kein Verbindungszustand repliziert werden muss.
• Risiko: Für TCP ist Anycast komplexer, weil Verbindungen stabil am gleichen PoP bleiben müssen (Session Affinity).
• Trade-off: „Nächster PoP“ ist nicht garantiert; Routing-Änderungen können Traffic umschwenken.

Anycast und TCP: Wo die Fallstricke liegen

TCP-Verbindungen sind zustandsbehaftet. Wenn ein Anycast-Pfad während einer aktiven Verbindung umschwenkt (z. B. durch BGP-Änderungen), können Pakete plötzlich in einem anderen PoP landen, der den Zustand nicht kennt. Das äußert sich als Retransmits, Reset oder Timeout. Deshalb wird TCP-Anycast in der Praxis oft mit zusätzlichen Designprinzipien umgesetzt:

• Stabile Routing-Policies: PoP-Ankündigungen und LocalPref so gestalten, dass Flaps selten sind.
• Connection Draining: Bei Wartung/Attacke Ankündigung schrittweise reduzieren, statt hart auszuschalten.
• Kurze Sessions: Architektur so bauen, dass Verbindungen weniger lange offen bleiben (wo fachlich möglich).
• State lokal halten: L4-LB/Proxy im PoP terminieren und Backends per Overlay anbinden.

Scrubbing vs. Anycast: Die wichtigsten Trade-offs im Vergleich

Beide Strategien sind valide, aber sie optimieren unterschiedliche Ziele. Entscheidend ist, ob Ihr Hauptproblem Bandbreitensättigung, pps, State-Exhaustion oder globale Resilienz ist.

• Skalierung: Scrubbing skaliert typischerweise „nach oben“ (zentralisierte, sehr große Kapazität). Anycast skaliert „nach außen“ (viele PoPs mit addierter Kapazität).
• Latenz: Anycast kann Latenz reduzieren (näher am Nutzer). Scrubbing kann Latenz erhöhen (Umweg über Scrubbing-Center), besonders bei On-demand-Umschaltung.
• Komplexität: Scrubbing erfordert gute Runbooks und Provider-Integration; Anycast erfordert gutes Routing-Design und PoP-Observability.
• Sichtbarkeit: Scrubbing kann Telemetrie abstrahieren; Anycast verteilt Metriken, wodurch Korrelation schwieriger wird.
• False Positives: Aggressive Scrubbing-Profile riskieren legitimen Traffic. Anycast-„Mitigation durch Verteilung“ filtert nicht per se, sondern verteilt den Schaden.

Wann Scrubbing die bessere Wahl ist

Scrubbing ist besonders stark, wenn Sie großflächige volumetrische oder Reflection-basierte Attacken erwarten, die Ihre Upstream-Links sättigen würden, oder wenn Sie keinen eigenen globalen PoP-Footprint betreiben können.

• Große Amplification/Reflection (DNS/NTP/SSDP/CLDAP) mit hohem bps
• Angriffe mit hoher pps, die Router/Firewalls an der Kante überfordern
• Begrenzte eigene Edge-Kapazität oder fehlende globale Verteilung
• Regulatorische Anforderungen an definierte Mitigation-Prozesse mit Provider-Unterstützung

Wann Anycast die bessere Wahl ist

Anycast ist besonders attraktiv, wenn Sie ohnehin global verteilte Dienste betreiben, wenn Sie UDP-basierte Protokolle stabil anbieten müssen oder wenn Sie mit „Verteilung“ bereits einen großen Teil der Angriffsenergie entschärfen können.

• UDP-Dienste (z. B. DNS) mit hoher Anfrage-Rate und globaler Nutzerbasis
• Globale Services, bei denen Latenz ein Wettbewerbsvorteil ist
• Resilienz gegen regionale Ausfälle und PoP-spezifische Attacken
• Architekturen mit klaren PoP-Grenzen (Edge-Proxy/LB pro Region)

Die Praxislösung: Hybrid aus Anycast und Scrubbing

Viele reife Setups kombinieren beide Strategien: Anycast verteilt den Traffic und reduziert die Peak-Last pro Standort, während Scrubbing als „Safety Net“ gegen extreme volumetrische Attacken oder besonders schädliche Muster dient. Häufige Hybrid-Modelle:

• Anycast für den Standardbetrieb und On-demand Scrubbing bei großen Attacken
• Always-on Scrubbing vor Anycast-PoPs, wenn PoPs selbst geschützt werden müssen
• Service-spezifisch: DNS via Anycast, kritische TCP-APIs via Scrubbing/Proxy

Operative Telemetrie: Welche Signale entscheiden über die Mitigation?

Damit die Wahl zwischen Scrubbing und Anycast (oder die Aktivierung eines On-demand-Setups) nicht zur Bauchentscheidung wird, sollten Sie wenige, harte Indikatoren definieren, die in Incidents schnell verfügbar sind.

• bps pro Edge-Link: Nähert sich die Last der Link-Kapazität, ist Scrubbing oft zwingend.
• pps pro Gerät: Hohe pps bei moderaten bps deuten auf Paketverarbeitungsengpässe; Scrubbing oder sehr frühe Policers helfen.
• CPS/Handshake-Failures: Bei SYN-Flood/Connection-Exhaustion sind L4-spezifische Protections (SYN-Proxy, Limits) zentral.
• State-Table-Auslastung: Wenn Firewalls/LBs stateful kollabieren, müssen Sie State-Erzeugung reduzieren oder Terminierung verlagern.
• Fan-in/Fan-out Muster: Viele Quellen auf wenige Ziele/Ports spricht für Reflection; das ist scrubbing-freundlich.

Response-Zeit und BGP: Die Realität der Umschaltung

Ein häufig unterschätzter Trade-off ist die Zeit, bis eine Maßnahme wirklich wirkt. On-demand Scrubbing ist nur so gut wie die BGP-Umschaltung, die interne Freigabekette und die Qualität der vorbereiteten Filterprofile. Auch Anycast reagiert nicht „instant“ auf alles: BGP-Konvergenz, Route Dampening und Provider-Policies bestimmen, wie schnell Traffic sauber neu verteilt wird.

• On-demand Scrubbing: Verzögerung durch Detektion, Entscheidung, Aktivierung, Konvergenz.
• Anycast: Schnell bei regionalen Problemen, aber nicht immun gegen globale Attacken, wenn alle PoPs gleichermaßen getroffen werden.

False Positives und Kollateralschäden: Der Preis aggressiver Filter

Layer-4-Mitigation ist besonders anfällig für Kollateralschäden, weil Transportebene oft wenig Kontext über „legitim vs. bösartig“ liefert. Ein klassisches Beispiel sind per-IP-Limits bei Carrier-NAT: Viele legitime Nutzer teilen sich eine Quell-IP. Aggressive Limits wirken dann wie Selbst-DDoS.

• NAT-Awareness: Limits eher pro Präfix/ASN/Region plus zusätzliche Signale (wenn verfügbar) statt hart pro IP.
• Stufenmodell: Erst drosseln, dann gezielt blocken; nie sofort „schwarz/weiß“.
• Allow-Listen: Kritische Partner, Monitoring, Health Checks priorisieren.
• Beobachtbarkeit: Drop-Reasons und Sampling sichern, damit Sie nachjustieren können.

Kapazitätsmodellierung: bps, pps und State getrennt planen

Ein wiederholbarer Ansatz ist, Kapazität nicht als „eine Zahl“ zu betrachten. Für jedes Edge-Segment sollten Sie mindestens drei SLO-relevante Grenzwerte festlegen: maximal tolerierbare bps, pps und State-Auslastung. Eine einfache State-Kennzahl:

$\mathrm{StateAuslastung}=\frac{\mathrm{AktiveStates}}{\mathrm{MaxStates}}\times 100$

Diese Kennzahl ist besonders wichtig, weil viele Layer-4-Angriffe nicht „die Leitung“ treffen, sondern die Session-Tabellen von Firewall, NAT oder Load Balancer. Ein Response-Plan sollte klare Schwellen enthalten (z. B. ab 80% Alarm, ab 90% sofortige Mitigation-Schritte).

Testen und Drills: Wie Sie Mitigation realistisch validieren

Die größte Lücke in vielen Programmen ist, dass Mitigation „auf dem Papier“ existiert, aber nicht regelmäßig getestet wird. Layer-4-Schutz muss unter realen Bedingungen funktionieren, inklusive Telemetrie, Alarmierung, Ticket-/Eskalationswegen und der Zusammenarbeit mit Providern.

• Tabletop-Übungen: Entscheidungswege und Rollen klären (SecOps, NetOps, Provider).
• Kontrollierte Lasttests: CPS/pps/state in einer Staging-Umgebung oder mit abgestimmten Fenstern.
• Failover-Tests: Bei Anycast und HA-Firewalls prüfen, wie State und Routing sich unter Last verhalten.
• Telemetrie-Checks: Sicherstellen, dass Drop-Reasons, pps und State-Auslastung wirklich sichtbar sind.

Praktische Leitplanken: So wählen SecOps und NetOps gemeinsam

Damit DDoS-Mitigation auf Layer 4 als Programm funktioniert, sollte die Entscheidung nicht an einzelnen Personen hängen, sondern an klaren Kriterien. Bewährt hat sich eine gemeinsam gepflegte Entscheidungsmatrix, die auf wenigen harten Messwerten basiert.

• Wenn Links sättigen: Scrubbing priorisieren (Upstream entlasten).
• Wenn pps/CPU die Edge killt: Scrubbing oder sehr frühe Policers/ACLs; Anycast allein reicht oft nicht.
• Wenn State-Tables voll laufen: State-Erzeugung reduzieren (SYN-Proxy, Limits), Terminierung prüfen; Scrubbing kann helfen, wenn State durch Angriffstraffic entsteht.
• Wenn globale Latenz kritisch ist: Anycast als Baseline, Scrubbing als Backup.

Outbound-Quellen für Standards und Hintergrund

• TCP-Spezifikation (RFC 9293) für Handshake- und Session-Grundlagen
• UDP-Spezifikation (RFC 768) für verbindungslose Traffic-Modelle
• SYN-Flooding und Mitigations (RFC 4987) für L4-spezifische Angriffsmuster
• BGP-Grundlagen (RFC 4271) als Basis für Anycast- und Scrubbing-Umleitung per Routing

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.