DDoS-Resilienz am Edge: Connection Limits, SYN Cookies, upstream protection

Distributed Denial-of-Service (DDoS) Angriffe sind eine der größten Bedrohungen für öffentliche Webdienste. Sie zielen darauf ab, Serverressourcen zu erschöpfen, sodass legitime Nutzer nicht mehr bedient werden können. Für Network Engineers und Web-Administratoren ist es entscheidend, Webserver und Proxy-Stacks am Edge so abzusichern, dass sie hohe Connection-Lasten überstehen, SYN-Floods abwehren und Upstream-Server schützen. In diesem Tutorial werden wir praxisnah erläutern, wie Connection Limits, SYN Cookies und Upstream Protection implementiert werden können, um die DDoS-Resilienz signifikant zu erhöhen.

Grundlagen von DDoS-Angriffen

DDoS-Angriffe versuchen, Ressourcen zu überlasten, indem sie eine große Anzahl an Anfragen oder TCP-Verbindungen gleichzeitig initiieren. Typische Angriffsszenarien sind:

• SYN-Floods, die die TCP-Halbverbindungen erschöpfen
• HTTP GET/POST Fluten auf Webserver
• UDP-basiertes Flooding, z. B. bei QUIC- oder DNS-Servern

Connection Limits am Edge

Ein effektives Mittel gegen Verbindungsfluten ist das Setzen von Limits auf aktive Connections pro Client oder per IP-Range. Dies verhindert, dass einzelne Clients Ressourcen blockieren.

Nginx Connection Limits

http {
    limit_conn_zone $binary_remote_addr zone=addr:10m;
    server {
        limit_conn addr 10;
        ...
    }
}

Hierbei wird pro IP maximal 10 gleichzeitige Verbindungen erlaubt. Eine zu hohe Anzahl paralleler Verbindungen wird blockiert.

Apache mod_ratelimit & mod_reqtimeout

    RequestReadTimeout body=10,minrate=500

Diese Module begrenzen die Request-Rate und verhindern, dass langsame Clients Ressourcen blockieren.

SYN Cookies aktivieren

SYN-Floods erschöpfen die TCP-Halbverbindungen. SYN Cookies erlauben es dem Kernel, Verbindungsanfragen zu validieren, ohne dass Speicher für halboffene Verbindungen belegt wird.

Linux Kernel Einstellungen

sysctl -w net.ipv4.tcp_syncookies=1
sysctl -w net.ipv4.tcp_max_syn_backlog=4096
sysctl -w net.ipv4.tcp_synack_retries=2

• tcp_syncookies=1 aktiviert die SYN-Cookie-Logik
• tcp_max_syn_backlog erhöht die Anzahl gleichzeitig halboffener Verbindungen
• tcp_synack_retries reduziert die Wiederholungsversuche für SYN-ACK

Beobachtung der SYN-Floods

netstat -s | grep 'SYN'
ss -s

So können Administratoren erkennen, ob SYN-Floods stattfinden und wie viele halboffene Verbindungen existieren.

Upstream Protection

Proxy-Server schützen die Upstream-Server vor Überlastung durch DDoS. Dafür werden Queues, Rate Limits und Health Checks eingesetzt.

Nginx Beispiel: Proxy Timeout & Max Connections

upstream backend {
    server backend1.example.com max_fails=3 fail_timeout=30s;
    server backend2.example.com max_fails=3 fail_timeout=30s;
    keepalive 32;
}
server {

location / {

proxy_pass http://backend;

proxy_connect_timeout 5s;

proxy_read_timeout 30s;

proxy_send_timeout 10s;

}

}

Die keepalive-Option reduziert die Last durch persistent Connections. max_fails und fail_timeout schützen vor fehlerhaften Backends.

Apache mod_proxy Beispiel

    BalancerMember http://backend1.example.com retry=30
    BalancerMember http://backend2.example.com retry=30
    ProxySet lbmethod=byrequests

Rate Limiting für APIs

APIs können gezielt durch Nginx Maps oder Apache Limit-Modules geschützt werden. Dies verhindert Abuse und schützt Upstream-Systeme.

Nginx Beispiel

limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;
server {

location /api/ {

limit_req zone=api burst=20 nodelay;

proxy_pass http://backend;

}

}

Monitoring & Observability

Nur wer den Traffic kontinuierlich überwacht, kann Angriffe frühzeitig erkennen. Typische Metriken:

• Active Connections pro IP
• SYN-Raten pro Sekunde
• 502/504 Fehler auf Upstream
• Request Rate pro Endpoint

Beispiel: Nginx Stub Status

location /nginx_status {
    stub_status on;
    allow 127.0.0.1;
    deny all;
}

Best Practices für DDoS-Resilienz

• UDP- und TCP-Ports am Edge überwachen
• SYN Cookies aktivieren, tcp_max_syn_backlog erhöhen
• Connection Limits pro IP setzen
• Upstream Keepalive, Max Fails und Retry korrekt konfigurieren
• Rate Limits für APIs definieren
• Monitoring und Alerts für Traffic-Anomalien einrichten
• CDN oder WAF einsetzen, um Layer 7 Traffic abzufangen

Durch die Kombination dieser Maßnahmen erhöhen Web-Stacks ihre Resilienz gegenüber DDoS-Angriffen erheblich. Edge-Systeme können so die Last absorbieren, SYN-Floods abwehren und die Upstream-Systeme vor Überlast schützen, während legitimer Traffic weiterhin zuverlässig bedient wird.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.