Layer-7-DDoS: Detection über Request-Raten und Muster

Layer-7-DDoS (auch „Application-Layer-DDoS“ oder „HTTP-Flood“) zielt nicht primär auf Bandbreite, sondern auf Applikations- und Plattformressourcen: CPU, Threads, Connection Pools, Datenbank-Queries, Cache-Misses, Upstream-Dependencies oder Rate-Limits von Drittanbietern. Das Erkennen solcher Angriffe ist anspruchsvoll, weil Layer-7-Traffic zunächst wie „normaler“ Web-Traffic aussieht: echte HTTP-Requests, valide URLs, scheinbar legitime User-Agents und oft sogar erfolgreiche Statuscodes. Die beste Detection kombiniert deshalb zwei Perspektiven: Request-Raten (Volumen, Burst, Concurrency) und Muster (Pfadverteilung, Sequenzen, Parameter, Fehlerraten, Kosten pro Request). Wer Layer-7-DDoS sauber detektieren will, muss nicht nur zählen, sondern auch verstehen, welche Requests teuer sind, welche Nutzergruppen erwartbar spiken dürfen und wie sich legitime Peaks von systematischem Missbrauch unterscheiden lassen. In diesem Artikel geht es genau darum: Welche Metriken taugen wirklich, welche Muster sind typische Frühindikatoren und wie setzt man Schwellenwerte so, dass die Detection operativ nutzbar bleibt.

Was Layer-7-DDoS von Layer-3/4 unterscheidet

Bei klassischen volumetrischen Angriffen (Layer 3/4) liefern Bandbreite, PPS und SYN/UDP-Anomalien oft schnelle Hinweise. Layer-7-DDoS verschiebt das Problem in Richtung „Anwendungslogik“: Ein einzelner Request kann teurer sein als tausend einfache Requests, zum Beispiel wenn er einen ungecachten Report generiert, eine Suche mit komplexen Filtern ausführt oder eine Kaskade an Microservices triggert. Dadurch kann ein Angriff bereits bei moderaten Raten wirksam sein, während Netzwerkmetriken noch „grün“ wirken.

• Zielressourcen: CPU/Memory der App, DB, Cache, Message Queues, Third-Party-APIs
• Traffic-Charakter: valide HTTP(S)-Requests, häufig mit echten Cookies/Headers
• Auswirkung: Latenzanstieg, Timeouts, Fehlerketten, Queue-Build-up, Rate-Limit-Exhaustion
• Angriffsformen: HTTP GET/POST Flood, Cache-Busting, Login-Flood, Search-Abuse, API-Flood

Grundlagen der Detection: Raten, Bursts und Concurrency

Request-Raten sind der Einstieg in Layer-7-DDoS-Detection. Entscheidend ist jedoch, welche Raten Sie messen: global, pro Pfad, pro Host, pro Client-Gruppe, pro Identity oder pro Edge-PoP. Ein globaler „RPS“-Wert ist selten aussagekräftig, weil er lokale Hotspots verdecken kann. In der Praxis haben sich drei Rate-Dimensionen bewährt: Rate (Requests pro Sekunde), Burst (kurzfristige Spitzen) und Concurrency (gleichzeitige in-flight Requests).

Die wichtigsten Rate-Metriken

• RPS gesamt: grober Indikator, gut für „es passiert etwas“, schlecht für Attribution
• RPS pro Route/Endpoint: zentral für L7, weil Angriffe oft einzelne teure Pfade fokussieren
• RPS pro Client-Segment: z. B. pro ASN, pro Geo, pro Auth-Status (anonym vs. eingeloggt)
• RPS pro Identity: pro API-Key, Token-Subject, Session-ID (wenn verfügbar) – reduziert NAT-Effekte
• Concurrency pro Route: frühes Signal für Thread-/Worker-Exhaustion

Warum Bursts oft wichtiger sind als der Mittelwert

Viele Umgebungen dimensionieren auf Durchschnittswerte, während Layer-7-DDoS über Bursts arbeitet: kurze, aggressive Spitzen, die Queues füllen und Latenzen nach oben schieben. Deshalb sind Perzentile und Fenstergrößen wichtig. Messen Sie RPS nicht nur als 1-Minute-Average, sondern parallel als 1s/5s/30s-Raten. Ein Angriff kann im 1-Minuten-Mittelwert „verschwinden“, aber im 5-Sekunden-Fenster klar sichtbar sein.

RPS = Requests Seconds , BurstFactor = RPS(5s) RPS(60s)

Ein hoher BurstFactor ist nicht automatisch bösartig (Marketingkampagne, Release, Breaking News), aber er ist ein zuverlässiger Trigger, um Muster-Checks zu aktivieren.

Musterbasierte Detection: Was „untypisch“ aussieht

Layer-7-Angriffe lassen sich selten allein über Rate-Limits erkennen, weil Angreifer Raten „unter dem Radar“ halten oder über Botnetze verteilen. Musterbasierte Detection sucht deshalb nach Verteilungen, Sequenzen und Kostenindikatoren. Der Anspruch ist nicht perfekte Klassifikation, sondern eine robuste Trennung zwischen „legitimer Spike“ und „systematischer Last“.

Pfad- und Parameterverteilung

Legitimer Traffic folgt meist stabilen Verteilungen: Startseite, Kategorieseiten, Suche, Produktdetails, API-Calls. Ein Angriff verschiebt diese Verteilung oft abrupt auf wenige Pfade oder auf besonders teure Kombinationen. Wichtige Muster:

• Hot-Endpoint-Fokus: ein einzelner Pfad dominiert plötzlich die RPS (z. B. /search, /login, /report)
• Cache-Busting: viele Requests mit einzigartigen Query-Parametern, die Cache-Hit-Raten zerstören
• Pagination-Abuse: extrem hohe Seitenzahlen, aggressive Scroll- oder Cursor-Iteration
• Methodenmix: ungewöhnlich viele POST/PUT auf eigentlich read-lastige Endpunkte

Sequenzmuster und „Flow-Anomalien“

Auch wenn Layer-7 „nur HTTP“ ist, haben Anwendungen typische Flows: Landing → Produkt → Warenkorb → Checkout oder Login → API-Nutzung. Bots/Angriffe sind häufig sequenzarm: sie treffen dieselbe Route immer wieder oder springen in untypische Reihenfolgen. Hinweise:

• Fehlende Navigation: viele Requests ohne Referer-Kohärenz (vorsichtig interpretieren, Privacy-Browser!)
• Konstante Intervalle: exakt getaktete Requests über lange Zeit (Cron-artig) in User-Traffic-Zonen
• Unplausible Wechsel: viele Sessions, die nur eine teure Route aufrufen und sofort verschwinden

Statuscodes und Fehlerprofile

Ein verbreiteter Irrtum: „Viele 5xx heißt Angriff.“ In Layer-7-DDoS sind 2xx/3xx genauso möglich, weil Angreifer valide Requests erzeugen, die das System dennoch überlasten. Trotzdem sind Fehlerprofile wertvoll, wenn Sie sie im Kontext betrachten:

• 429-Spikes: Rate Limits greifen, aber Traffic bleibt hoch – Hinweis auf fehlende Backoff-Compliance
• 499/Client-Aborts: Clients brechen ab, wenn Latenz steigt (häufig bei Proxys/CDNs sichtbar)
• 504/Upstream-Timeouts: Last verlagert sich in Upstreams (DB, Microservices, Third Parties)
• Auth-Fail-Cluster: viele 401/403 auf Login/Token-Endpunkten (Login-Flood / Credential-Stuffing)

Kostenbasierte Detection: „Teure“ Requests identifizieren

Der Kern von Layer-7-DDoS ist oft nicht die Menge, sondern die Kosten. Deshalb lohnt es, eine „Request-Kosten“-Metrik einzuführen. Kosten können approximiert werden über Latenz, CPU-Zeit, DB-Queries, Response-Größe, Cache-Miss oder Upstream-Calls. Je nach Plattform sind unterschiedliche Signale leicht verfügbar:

• Edge/Gateway: Latenz, Upstream-Status, Request/Response-Bytes, Cache-Status
• App: Handler-Dauer, Threadpool-Auslastung, Queue-Länge, Garbage Collection
• Datenbank: Query-Time, Slow Query Count, Connection Pool Saturation
• Cache: Hit/Miss-Rate, Evictions, Hot-Key/Cold-Key-Verhalten

Ein praktischer „Cost Score“

Ein einfacher Cost Score hilft, teure Pfade zu priorisieren. Er muss nicht perfekt sein; wichtig ist die relative Rangordnung im Incident.

CostScore = a×LatencyP95 + b×UpstreamCalls + c×CacheMissRate

Wenn ein Endpoint gleichzeitig hohe RPS und hohen CostScore zeigt, ist das ein sehr starkes Signal für Layer-7-DDoS oder zumindest für akuten Missbrauch, der mitigiert werden muss.

Schwellenwerte sinnvoll setzen: Baselines statt Bauchgefühl

„Alert-Thresholds“ sind bei Layer-7-DDoS heikel, weil normaler Traffic stark schwanken kann. Ein starres „RPS > X“ produziert entweder ständige False Positives oder verpasst echte Angriffe. Robust wird es mit Baselines: Vergleichen Sie aktuelle Werte mit historisch ähnlichen Perioden (Wochentag, Uhrzeit, Saison, Kampagnen). Für Einsteiger reicht oft eine Kombination aus gleitendem Mittelwert und Standardabweichung, ergänzt um Perzentile.

Baseline-Alerting in einfachen Regeln

• Zeitfenster: parallel 1m, 5m, 15m (kurz für Bursts, länger für Trends)
• Vergleich: aktuelle RPS pro Route vs. Median der letzten 14 Tage zur gleichen Stunde
• Zusatzbedingung: nur alerten, wenn gleichzeitig Latenz P95 steigt oder Cache-Miss steigt

Alert := RPS(route) > BaselineMedian + 3×BaselineMAD ∧ LatencyP95>LatencyBaselineP95

Die „MAD“ (Median Absolute Deviation) ist oft stabiler als Standardabweichung bei ausreißerlastigen Traffic-Daten. Wichtig ist: Baselines pro Route und pro Client-Segment liefern deutlich bessere Ergebnisse als globale Baselines.

Segmentierung der Detection: Wer verursacht die Last?

Die schnellste Layer-7-DDoS-Analyse beantwortet zwei Fragen: „Welche Requests?“ und „Von wem?“ Das „Von wem“ ist knifflig, weil IPs durch NAT, VPNs, Carrier-Grade NAT oder Residential Proxies verzerrt sein können. Trotzdem ist Segmentierung unverzichtbar, um Mitigation präzise zu machen. Sinnvolle Achsen:

• Auth-Status: anonym vs. eingeloggt (Anonyme Floods sind häufiger, aber nicht exklusiv)
• Client-Typ: Browser vs. Mobile App vs. API-Client (eigene Ratenprofile!)
• ASN/Provider: große Provider-Kluster können Indiz sein, aber nie alleiniger Beweis
• Geo/Region: hilfreich bei regionalen Kampagnen oder Proxy-Netzen, aber mit Vorsicht
• Session-/Token-Identität: wenn möglich, besser als IP-only

Typische Layer-7-DDoS-Muster, die Sie früh sehen können

Aus operativer Sicht sind folgende Muster besonders nützlich, weil sie häufig früh im Angriff auftreten und sich gut messen lassen:

• „Cache wird kalt“: Cache-Hit-Rate fällt, Miss-Rate steigt, obwohl Content gleich bleibt
• „Search wird teuer“: /search dominiert RPS, gleichzeitig steigen DB-Query-Zeiten
• „Login-Flood“: /login oder /token steigt stark, 401/403 erhöhen sich, Account-Locks nehmen zu
• „API-Enumeration“: viele 404/403 über IDs, hohe Unique-ID-Kardinalität pro Zeitfenster
• „Burst-Concurrency“: RPS ist moderat, aber Concurrency explodiert (Slowloris-artig auf HTTP-Ebene)

Fehler vermeiden: Warum legitime Peaks wie Angriffe aussehen

Layer-7-DDoS-Detection scheitert häufig an Kollateralschäden. Drei legitime Szenarien sehen schnell „bösartig“ aus:

• Kampagnen/Pushes: plötzliche Pfad-Fokussierung auf Landingpages, Checkout oder Produktdetail
• Monitoring/Synthetics: konstante Intervalle, wiederholte Pfade, „bot-ähnlich“ aber erwünscht
• Fehlkonfigurationen: Clients in Retry-Loops erzeugen Floods, ohne dass ein Angreifer beteiligt ist

Darum sollte jeder „Rate“-Alert mindestens einen zweiten, unabhängigen Indikator verlangen: Latenz, Cache-Miss, DB-Sättigung, 429-Profil oder Flow-Anomalie. So senken Sie False Positives, ohne echte Angriffe zu verpassen.

Outbound-Links: Referenzen für Standards und Praxis

• OWASP DDoS Project
• OWASP Automated Threats to Web Applications
• HTTP Semantics (RFC 9110)
• System for Cross-domain Identity Management (SCIM) als Beispiel für API-lastige Muster (RFC 9333)
• Additional HTTP Status Codes (RFC 6585) – inkl. 429 Too Many Requests

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.