Layer-7-DDoS: Detection über Ratios, Header und Behavior

Ein Layer-7-DDoS (auch Application-Layer-DDoS oder HTTP-Flood genannt) zielt nicht primär darauf ab, Ihre Leitung „vollzulaufen“, sondern darauf, Anwendungen durch scheinbar legitime Anfragen zu überlasten. Im Unterschied zu volumetrischen Angriffen auf Layer 3/4 wirkt ein Layer-7-DDoS oft wie normaler Web-Traffic: echte URLs, typische Methoden wie GET/POST, gültige TLS-Verbindungen und sogar Browser-ähnliche Header. Genau deshalb ist die…

OSI-Modell für SRE: Kompletter Leitfaden zum Mapping „Netzwerkproblem vs. Applikation“

Das OSI-Modell wirkt auf den ersten Blick wie Theorie aus dem Netzwerkunterricht. Für SRE-Teams ist es jedoch ein sehr praktisches Denkwerkzeug, um in Incidents schnell zu entscheiden: Liegt ein Netzwerkproblem vor oder ist es eine Applikationsstörung? Genau diese Trennung ist in der Realität oft schwer, weil moderne Systeme mehrere Schichten gleichzeitig nutzen: CDN, Load Balancer,…

SSRF in der Cloud: Funktionsweise, Impact und praktische Defense

SSRF in der Cloud (Server-Side Request Forgery) zählt zu den gefährlichsten Web-Schwachstellen moderner Cloud-Architekturen, weil sie scheinbar harmlose Funktionen wie URL-Importe, Webhooks, Bild- oder PDF-Renderer, Link-Previews und Integrationen mit internen Services missbraucht. Dabei zwingt ein Angreifer Ihre Anwendung, serverseitig Anfragen an Ziele zu senden, die der Angreifer selbst nicht direkt erreichen dürfte – etwa interne…

End-to-End-Latenz-SLOs erstellen (DNS→TCP→TLS→HTTP) + Beispiel-Targets

End-to-End-Latenz-SLOs erstellen ist eine der wirkungsvollsten Maßnahmen, um Nutzererlebnis und Betriebssicherheit messbar zu verbessern. In der Praxis scheitern Latenz-SLOs jedoch oft daran, dass sie nur „Server-Latenz“ messen, während der Nutzer eigentlich die gesamte Kette spürt: DNS-Auflösung, TCP-Verbindungsaufbau, TLS-Handshake und schließlich die HTTP-Transaktion inklusive Backend-Verarbeitung. Wer End-to-End denkt, erkennt schneller, ob ein Problem aus dem Netzwerkpfad,…

HTTP Request Smuggling: Konzept, Indikatoren und Mitigation

HTTP Request Smuggling ist eine besonders tückische Klasse von Schwachstellen in modernen Web-Stacks, weil sie nicht primär aus einem einzelnen Programmierfehler in der Anwendung entsteht, sondern aus einem Missverständnis zwischen mehreren HTTP-Komponenten. Typischerweise sind daran ein Reverse Proxy, ein Load Balancer, ein CDN oder eine WAF vor dem eigentlichen Applikationsserver beteiligt. Wenn diese Systeme eine…

Error Budget für Netzwerkprobleme: Berechnen und im On-Call anwenden

Ein „Error Budget für Netzwerkprobleme“ macht Zuverlässigkeit messbar und handlungsfähig – besonders im On-Call, wenn schnell entschieden werden muss, ob ein Incident ein einmaliger Ausreißer ist oder ob das System gerade systematisch „Budget verbrennt“. In vielen Teams existiert zwar ein Verfügbarkeits-SLO, aber Netzwerkstörungen (DNS-Ausfälle, Routing-Probleme, TCP-Resets, TLS-Handshake-Fehler) verschwinden darin als unscharfer Anteil von „Errors“. Das…

API Gateway als Control Point: Best Practices für SecOps

Ein API Gateway als Control Point ist für SecOps längst mehr als ein „Reverse Proxy für APIs“. In modernen Architekturen – Microservices, Multi-Cloud, Kubernetes, externe Partner, Mobile Apps – wird das API Gateway zur zentralen Stelle, an der Sicherheitsrichtlinien technisch durchsetzbar, messbar und auditierbar werden. Genau hier lassen sich Authentifizierung, Autorisierung, Rate-Limits, Schema-Validierung, Threat-Detection und…

DNS Tunneling: Detection, Query-Patterns und Response-Plan

DNS Tunneling ist eine Technik, bei der das Domain Name System (DNS) zweckentfremdet wird, um Daten unbemerkt zu übertragen oder eine verdeckte Kommunikation zwischen einem kompromittierten System und einem externen Server aufzubauen. Genau weil DNS in nahezu jedem Netzwerk erlaubt ist und oft weniger streng überwacht wird als HTTP(S), gehört DNS Tunneling zu den häufigsten…

High Cardinality in Observability: Labels sicher handhaben

High Cardinality in Observability: Labels sicher handhaben ist eines der wichtigsten Themen, wenn Monitoring, Tracing und Logging langfristig stabil, bezahlbar und im Incident nutzbar bleiben sollen. „High Cardinality“ bedeutet, dass ein Label (oder eine Kombination mehrerer Labels) sehr viele unterschiedliche Werte annehmen kann – etwa Request-IDs, User-IDs, vollständige URLs, dynamische Pfade, Container-IDs oder IP:Port-Kombinationen. Solche…

Trace-Sampling: Risiken im Incident und Mitigation

Trace-Sampling: Risiken im Incident und Mitigation ist ein Thema, das viele Teams erst dann richtig ernst nehmen, wenn ein Incident bereits läuft und plötzlich „die wichtigen Traces fehlen“. Sampling ist notwendig, weil vollständiges Distributed Tracing bei hohen Request-Raten schnell teuer wird und die Telemetrie-Pipeline (Agent, Collector, Backend) überlasten kann. Gleichzeitig ist Sampling ein Risiko: Es…