DDoS-Schutz verstehen: Arten von Angriffen und Gegenmaßnahmen

DDoS-Schutz verstehen ist für Unternehmen, Behörden und Betreiber öffentlicher Dienste heute Pflicht, weil Distributed-Denial-of-Service-Angriffe nicht nur „die Website langsam machen“, sondern ganze Geschäftsprozesse lahmlegen können: Kundenportale werden unbenutzbar, APIs fallen aus, VPN-Gateways werden überlastet, VoIP und Videokonferenzen brechen ein, und selbst interne Anwendungen können indirekt betroffen sein, wenn Internetanbindung, Firewall oder Load Balancer an ihre Grenzen kommen. Besonders tückisch ist, dass DDoS nicht immer wie ein klassischer „Datensturm“ aussieht. Moderne Angreifer kombinieren Volumenangriffe mit Protokollmissbrauch, gezielten Layer-7-Requests und Reflexionsmechanismen, um Schutzsysteme auszutricksen und die Reaktionszeit von Betriebsteams zu verlängern. Gleichzeitig ist DDoS-Schutz kein einzelnes Produkt, das man „anschaltet“, sondern eine abgestimmte Strategie aus Architektur, Kapazität, Monitoring, Filtermechanismen und klaren Notfallprozessen. Dieser Artikel erklärt verständlich, welche Arten von DDoS-Angriffen es gibt, wie Sie typische Symptome korrekt einordnen und welche Gegenmaßnahmen sich im Alltag bewährt haben – von Basis-Härtung (BCP 38, Rate Limits, Anycast) bis zu professionellen Mitigation-Services und Playbooks für den Ernstfall.

Was ist ein DDoS-Angriff und warum ist er so schwer zu stoppen?

DDoS steht für „Distributed Denial of Service“. Das Ziel ist nicht Datenklau, sondern die Nichtverfügbarkeit eines Dienstes: Ein System soll so überlastet werden, dass legitime Nutzer keine Antwort mehr bekommen. „Distributed“ bedeutet, dass der Angriff von vielen Quellen gleichzeitig kommt – oft von Botnetzen aus kompromittierten Geräten (PCs, Server, IoT). Dadurch ist die Abwehr schwierig: Blockieren einzelner IPs reicht selten, und die Angriffslast kann so hoch sein, dass bereits die Internetanbindung oder vorgelagerte Infrastruktur (Router, Firewall, CDN, Load Balancer) kollabiert.

• Skalierung: Tausende bis Millionen Quellen erzeugen Last gleichzeitig.
• Verschleierung: Traffic wirkt teils „normal“, besonders bei Layer-7-Angriffen.
• Reflexion/Amplifikation: Angreifer missbrauchen Server im Internet, um Traffic zu vervielfachen.
• Mehrstufigkeit: Angriffe wechseln die Methode, um Gegenmaßnahmen zu umgehen.

Drei Hauptklassen: Volumen, Protokoll, Applikation

In der Praxis lässt sich DDoS in drei Hauptkategorien einteilen. Das hilft, Symptome zu verstehen und passende Gegenmaßnahmen zu wählen.

Volumetrische Angriffe (Bandbreite/Throughput)

Volumetrische DDoS-Angriffe zielen auf die verfügbare Bandbreite: Die Internetleitung oder Upstream-Kapazität wird so stark belastet, dass legitimer Traffic verdrängt wird. Typische Beispiele sind UDP-Floods oder Reflexionsangriffe (siehe unten). Kennzeichen: sehr hohe Bitrate (Gbps/Tbps), oft ohne „intelligenten“ Inhalt.

Protokollangriffe (State/Control Plane)

Diese Angriffe zielen auf die Ressourcen von Netzwerkgeräten und Sicherheitskomponenten: Firewalls, Load Balancer oder Server geraten in Engpässe bei Sessions, States oder Protokollverarbeitung. Klassiker sind SYN-Floods oder Missbrauch von TCP-Handshakes. Kennzeichen: sehr viele Pakete pro Sekunde (pps), hohe Anzahl halboffener Verbindungen, CPU-Spikes auf Netzwerkgeräten.

Applikationsangriffe (Layer 7)

Layer-7-DDoS trifft die Anwendung selbst: HTTP(S)-Requests, API-Aufrufe oder Login-Endpunkte werden so intensiv genutzt, dass Webserver, App-Server oder Datenbanken überlasten. Das ist besonders gefährlich, weil die Bandbreite oft moderat wirkt, die Wirkung aber maximal ist – und weil der Traffic „legitim“ aussehen kann. Kennzeichen: erhöhte Request-Raten, steigende Antwortzeiten, Fehlercodes, Timeouts, Backend-CPU am Limit.

Typische DDoS-Techniken im Detail

Wer DDoS-Schutz verstehen will, sollte die gängigsten Angriffstechniken kennen. Viele Gegenmaßnahmen sind direkt davon abhängig.

UDP-Floods

UDP ist verbindungslos. Angreifer können sehr schnell Pakete senden, ohne eine Session aufzubauen. Ziele sind häufig Dienste, die UDP verarbeiten müssen, oder einfach die Bandbreite. Gegenmaßnahmen setzen auf Rate Limiting, Filterung und Upstream-Mitigation.

SYN-Flood (TCP)

Beim SYN-Flood wird der TCP-Verbindungsaufbau missbraucht. Viele SYN-Pakete erzeugen halboffene Verbindungen und belasten Server oder State-Tabellen von Firewalls/Load Balancern. Schutzmechanismen sind z. B. SYN Cookies, TCP-Stack-Tuning oder vorgelagerte DDoS-Scrubbing-Dienste.

Reflexions- und Amplifikationsangriffe

Hier missbraucht der Angreifer öffentlich erreichbare Server als „Verstärker“. Er sendet kleine Anfragen mit gefälschter Quell-IP (Spoofing) an einen Dienst, der deutlich größere Antworten zurück an das Opfer sendet. Häufig betroffen sind UDP-basierte Protokolle.

• DNS Amplification: Kleine DNS-Anfrage erzeugt große Antwort (z. B. über spezielle Record-Typen).
• NTP Amplification: Historisch durch bestimmte NTP-Funktionen verstärkt (heute meist besser gehärtet, aber Prinzip bleibt).
• CLDAP, Memcached, SSDP: Je nach Fehlkonfiguration können diese Protokolle stark amplifizieren.

Der wichtigste strukturelle Gegenhebel gegen Spoofing ist Source Address Validation. Eine zentrale Empfehlung ist BCP 38 / RFC 2827, das Provider und Netzbetreiber zu Ingress-Filtering anregt.

HTTP Floods und API-Abuse

Bei HTTP-Floods werden Webserver oder APIs mit vielen Requests überlastet. Das kann besonders effektiv sein, wenn teure Endpunkte angegriffen werden (z. B. Suche, Login, Dateigenerierung). Oft wird HTTPS genutzt, sodass zusätzlich TLS-Handshake und Verschlüsselung Ressourcen kosten.

Slowloris und „Low-and-slow“-Varianten

Hier wird nicht mit hoher Rate angegriffen, sondern mit langsamem, verbindungsbindendem Verhalten: Verbindungen werden offen gehalten, Header tröpfeln langsam. Ziel ist, Threads/Worker zu binden. Gegenmaßnahmen sind Timeouts, Limits pro Client, Reverse Proxies und robuste Webserver-Konfigurationen.

Wie Sie DDoS von „normalen Problemen“ unterscheiden

Nicht jede Nichterreichbarkeit ist DDoS. Häufige Verwechslungen sind fehlerhafte Deployments, Datenbankprobleme, DNS-Fehler, Zertifikatsabläufe oder Provider-Störungen. Eine schnelle Einordnung spart Zeit.

• Bandbreite am Limit: Upstream ist gesättigt, viele Drops am Edge-Router → eher volumetrisch.
• Session/State am Limit: Firewall/Load Balancer hat State-Table voll, SYN-Backlog voll → eher Protokollangriff.
• App-CPU/DB am Limit: Requests wirken „normal“, aber Backend bricht ein → eher Layer 7.
• Geografische Muster: Traffic aus ungewöhnlichen Regionen/ASNs kann Hinweis sein, ist aber nicht beweisend.
• Fehlercodes: 503/504, steigende Latenzen, Timeouts trotz normaler Bandbreite → oft L7.

DDoS-Schutz ist Architektur: Die wichtigsten Bausteine

Wirksamer DDoS-Schutz entsteht durch ein abgestimmtes System aus vorgelagerten Kapazitäten, Filtermechanismen, Lastverteilung und robusten Anwendungen. Die wichtigsten Bausteine lassen sich gut in Schichten denken.

Schicht 1: Upstream-Kapazität und Provider-Optionen

• Bandbreitenreserven: Wenn Ihre Leitung bei 1 Gbps endet, kann ein größerer Angriff ohne Upstream-Mitigation nicht „lokal“ abgewehrt werden.
• Provider-Mitigation: Viele Carrier bieten DDoS-Scrubbing, RTBH (Remote Triggered Black Hole) oder FlowSpec an.
• Multi-Homing: Mehrere Provider reduzieren Abhängigkeit und erhöhen Resilienz, erfordern aber sauberes BGP-Design.

Schicht 2: Anycast und globale Verteilung

Anycast verteilt Traffic auf viele PoPs (Points of Presence). Dadurch wird Last geografisch verteilt und oft schon vor Ihrer Infrastruktur absorbiert. CDNs und viele DDoS-Anbieter nutzen Anycast, um volumetrische Angriffe abzufangen und L7-Filtern näher am Nutzer zu ermöglichen.

Schicht 3: Edge-Filterung und Rate Limits

Auf Routern, Firewalls und Load Balancern können Sie grundlegende Filter und Limits setzen. Das ersetzt keinen großen Scrubbing-Service, kann aber viele Angriffe dämpfen und Geräte schützen.

• ACLs und Bogon-Filter: Unerwartete Quellnetze, ungültige Quellen, unerwünschte Protokolle.
• Rate Limiting: Begrenzung von ICMP, UDP, neuen TCP-Sessions oder Requests pro IP.
• Connection Limits: Limits pro Client und pro Zielservice, um Ressourcen zu schützen.

Schicht 4: WAF, Reverse Proxy und API-Gateway

Gegen Layer-7-DDoS sind WAFs, Reverse Proxies und API-Gateways oft der wirksamste Schutz, weil sie Requests bewerten, challengen und drosseln können, bevor Backends belastet werden.

• Request Normalization: Vereinheitlichung und Filterung verdächtiger Muster.
• Bot-Management: Erkennung automatisierter Clients.
• Rate Limits pro Endpoint: Login, Suche, API-Calls gezielt schützen.
• Cache-Strategie: Caching reduziert Backend-Last bei wiederholten Requests.

Für Webrisiken und Schutzprioritäten ist OWASP Top 10 eine praxisnahe Orientierung, auch wenn DDoS nicht ausschließlich ein OWASP-Thema ist.

Konkrete Gegenmaßnahmen nach Angriffstyp

Die beste Gegenmaßnahme ist die, die zum Angriff passt. Ein volumetrischer Angriff wird anders behandelt als ein API-Flood.

Gegen volumetrische Angriffe

• Upstream Scrubbing: Traffic wird beim Provider oder DDoS-Dienst gefiltert, bevor er Ihre Leitung erreicht.
• Anycast/CDN: Verteilung und Absorption auf globale Infrastruktur.
• RTBH im Notfall: Blackholing einzelner IPs kann Dienste „opfern“, um das Gesamtnetz zu schützen.
• FlowSpec (mit Vorsicht): BGP FlowSpec kann Filterregeln upstream ausrollen, erfordert aber Governance.

Gegen Protokollangriffe (SYN/State)

• SYN Cookies/Proxy: Entlastet Backend von halboffenen Sessions.
• State Protection: Limits für neue Sessions, aggressive Timeouts für halboffene Verbindungen.
• Hardware-Offload: Load Balancer/Edge-Geräte mit hoher pps-Kapazität.
• Segmentierte Edge: Kritische Dienste getrennt terminieren, damit ein Angriff nicht alles mitreißt.

Gegen Layer-7-DDoS

• WAF-Regeln und Challenges: JavaScript-/Captcha-Challenges, wenn angemessen und UX vertretbar.
• Endpoint-spezifische Limits: Login, Suche, „teure“ APIs rate-limiten.
• Caching und CDN: Statische und semistatische Inhalte auslagern.
• Backpressure im Backend: Queueing, Circuit Breaker, effiziente Timeouts, um Kaskaden zu vermeiden.
• Auth-Strategie: Tokenprüfung effizient gestalten, keine unnötig teuren Auth-Flows pro Request.

Best Practices, die in fast jeder Umgebung sinnvoll sind

Unabhängig von Branche oder Größe gibt es Maßnahmen, die DDoS-Risiko und Impact deutlich reduzieren – oft mit überschaubarem Aufwand.

Best Practice: Angriffsfläche reduzieren

• Nur notwendige Services öffentlich: Alles andere hinter VPN/ZTNA oder interne Gateways.
• Admin-Interfaces nie öffentlich: Management nur über Bastion/Management-Zone.
• DNS/Resolver härten: Offene Resolver vermeiden, Rate Limits setzen, Logging aktivieren.
• UDP-Dienste prüfen: Öffentlich erreichbare UDP-Services sind DDoS-anfälliger.

Best Practice: „Scalability by design“ für Web und APIs

• Stateless Services bevorzugen: Erleichtert horizontale Skalierung.
• Saubere Limits: Timeouts, Connection Pools, Request Limits pro Client.
• Graceful Degradation: Nicht-kritische Features bei Last reduzieren (z. B. Suche limitieren).
• Separierte Ressourcen: Trennen Sie kritische APIs von öffentlichen Landingpages.

Best Practice: Monitoring und Runbooks

• Baselines: Normale pps, bps, Requests/s und Latenz kennen.
• Alarmierung: Schwellenwerte für Traffic-Spikes, SYN-Raten, WAF-Blocks, Fehlercodes.
• Runbook: Wer ruft Provider an? Welche Filter werden aktiviert? Wie wird kommuniziert?
• Übungen: „Game Days“ oder Simulationen, um Reaktion zu trainieren.

Für ein strukturiertes Vorgehen in Detektion und Reaktion kann das NIST Cybersecurity Framework als organisatorische Leitlinie dienen.

DDoS-Mitigation-Services: Wann sie nötig sind und worauf Sie achten sollten

Ab einer gewissen Risiko- oder Größenordnung reicht „lokale Abwehr“ nicht aus. Wenn die Leitung oder der Providerlink überlastet ist, brauchen Sie Mitigation upstream oder in der Cloud. Bei der Auswahl sollten Sie nicht nur auf „maximale Gbps“ achten, sondern auf praktische Faktoren.

• Time-to-Mitigation: Wie schnell wird Traffic umgeleitet und gefiltert?
• Always-on vs. On-demand: Always-on reduziert Reaktionszeit, On-demand kann günstiger sein, erfordert aber schnelle Umschaltung.
• Layer-7-Fähigkeiten: Können auch HTTP/API-Floods intelligent abgewehrt werden?
• Integration: DNS, BGP, WAF, CDN, Logging ins SIEM.
• False Positives: Wie wird sichergestellt, dass legitime Nutzer nicht blockiert werden?
• Transparenz: Gute Telemetrie, Reports und Zugriff auf Mitigation-Logs.

Gegenmaßnahmen im Netzwerkbetrieb: Technik plus Prozess

Selbst die beste Technik verliert, wenn Prozesse fehlen. DDoS-Abwehr ist zeitkritisch: Je schneller Sie klassifizieren und umschalten, desto geringer der Impact.

Notfall-Playbook für DDoS

• Erkennen: Monitoring bestätigt Angriffstyp (Volumen, Protokoll, L7).
• Stabilisieren: Kritische Services priorisieren, nicht-kritische Features drosseln.
• Eskalieren: Provider/Mitigation-Dienst aktivieren, interne Stakeholder informieren.
• Filtern: Temporäre ACLs, Rate Limits, WAF-Regeln, Challenges aktivieren.
• Nachbereiten: Logs sichern, Lessons Learned, dauerhafte Härtung ableiten.

Kommunikation als Teil der Abwehr

DDoS ist oft auch ein Kommunikationsproblem: Kunden merken Ausfälle sofort. Interne Teams brauchen klare Statusupdates, und externe Partner (Provider, CDN) müssen schnell eingebunden werden. Eine klare Kommunikationslinie reduziert Chaos und beschleunigt Entscheidungen.

Typische Fehler beim DDoS-Schutz

• Nur „mehr Bandbreite“: Bandbreite hilft, aber stoppt keine Protokoll- oder Layer-7-Angriffe.
• Kein Plan für Upstream-Mitigation: Wenn die Leitung voll ist, ist es lokal zu spät.
• WAF ohne Limits: Ohne Rate Limits und Endpoint-Strategie werden teure Backends trotzdem überlastet.
• Keine Baselines: Ohne Normalwerte erkennen Sie Angriffe später und reagieren unsicher.
• Fehlende Übungen: Im Ernstfall fehlen Kontakte, Schritte und Verantwortlichkeiten.
• Offene Resolver/Amplifier im eigenen Netz: Eigene Systeme werden missbraucht und schaden Reputation.

Checkliste: DDoS-Schutz in der Praxis

• Angriffsfläche reduziert: nur notwendige Services öffentlich, Adminzugänge niemals öffentlich
• Monitoring etabliert: Baselines für bps/pps/Requests, Alarme für Anomalien und Fehlercodes
• Netzwerk-Härtung: sinnvolle ACLs, Rate Limits, Schutz vor State-Exhaustion
• Web/API-Schutz: WAF/Reverse Proxy, Endpoint-spezifische Rate Limits, Caching/CDN
• Upstream-Strategie: Provider-Mitigation, Scrubbing, ggf. Anycast/CDN, klare Aktivierungswege
• BCP 38 bedacht: Spoofing-Risiko minimieren, eigene Netze sauber filtern
• Runbooks vorhanden: Rollen, Kontakte, Schritte, Entscheidungskriterien, Kommunikationsplan
• Regelmäßige Tests/Übungen: technische und organisatorische Reaktionsfähigkeit prüfen

Weiterführende Informationsquellen

• BCP 38 / RFC 2827: Network Ingress Filtering gegen IP Spoofing
• NIST Cybersecurity Framework: Struktur für Erkennen, Reagieren und Wiederherstellen
• OWASP Top 10: Webrisiken und Schutzprioritäten für WAF/API-Gateways
• BSI: IT-Grundschutz und Empfehlungen zu Netzwerksicherheit und Resilienz

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.