Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Perimeter Security Glossar

DDoS-Schutz

Technische und organisatorische Maßnahmen gegen Distributed Denial of Service-Angriffe. Von CDN-basierter Traffic-Filterung bis Anycast-Routing: Wie Unternehmen Verfügbarkeit unter DDoS-Beschuss sicherstellen.

DDoS-Schutz umfasst alle Maßnahmen um die Verfügbarkeit von Systemen auch unter DDoS-Angriffen aufrechtzuerhalten. Da einzelne Angreifer heute Terabit-Angriffe kaufen können (Mirai-Botnet: 1,2 Tbit/s Spitzentraffic), schützt kein einzelnes System allein - DDoS-Schutz muss auf mehreren Ebenen gleichzeitig wirken.

DDoS-Angriffstypen und ihre Gegenmaßnahmen

Volumetrische Angriffe (Layer 3/4)

Das Ziel: Internetzugang mit Datenmengen überfluten.

Typische Angriffe:

  • UDP/ICMP Flood
  • DNS Amplification (kleiner Request, großer Response)
  • NTP Amplification (Faktor bis 600x Amplification)
  • Memcached Amplification (bis 50.000x Amplification)

Schutz:

  • Upstream-Scrubbing: Traffic wird beim ISP oder Scrubbing-Center gefiltert
  • Anycast-Routing: Traffic wird auf viele Geographien verteilt (Cloudflare-Netz: 200+ Standorte)
  • BCP38: Kein IP-Spoofing aus dem eigenen Netz (ISP-Maßnahme)

Protocol Attacks (Layer 4)

SYN Flood: Tausende TCP-Verbindungen werden begonnen aber nie abgeschlossen → Server hält Verbindungen offen → Ressourcen erschöpft.

Schutz: SYN Cookies, Rate Limiting pro Source-IP, Firewall mit Connection State Tracking.

Application Layer Attacks (Layer 7)

HTTP-Floods die echte Browser-Requests imitieren - schwerer zu erkennen.

Slowloris: Hält HTTP-Verbindungen mit extrem langsamen Requests offen. HTTP GET/POST Flood: Viele Requests gegen aufwendige Endpunkte (Suche, Login).

Schutz: WAF, CAPTCHA/JS-Challenge, Bot-Detection, Rate Limiting pro IP und User.

DDoS-Schutzmethoden

CDN + Cloud-Scrubbing (Empfohlener Standardschutz)

Nutzer → Cloudflare/AWS Shield/Akamai → Scrubbing → Ursprungsserver

Cloudflare Anycast: Traffic wird regional absorbiert - Nutzer in DE landen auf Cloudflare Frankfurt, ein Angriff aus CN trifft Cloudflare Hongkong. Der Ursprungsserver sieht nur gefilterten Traffic.

Größte Anbieter:

  • Cloudflare (kostenloser Basic-Plan, Unmetered Mitigation ab Pro)
  • AWS Shield (Standard kostenlos, Advanced: 3.000 $/Monat)
  • Akamai Prolexic (Enterprise, für kritische Infrastruktur)
  • F5 Silverline (Enterprise)
  • Link11 (Deutscher Anbieter, DSGVO-Vorteil)

On-Premise DDoS Protection Appliances

Für Rechenzentren mit dicker Uplink-Anbindung:

  • Radware DefensePro
  • Corero SmartWall
  • ARBOR Networks (Netscout)

Sinnvoll wenn: Regulatory-Anforderungen verbieten Traffic-Routing über Dritte.

ISP-basierter Upstream-Schutz

Viele Rechenzentren und Provider bieten “Blackholing” (Routing in Niemandsland) und Scrubbing-Services.

BGP Blackholing: Bei massivem Angriff wird die eigene IP in einem “Loch” geroutet - kein Angreifer-Traffic, aber auch kein legitimer Traffic. Kurzfristig sinnvoll.

DDoS-Schutz für Mittelstand: Pragmatischer Ansatz

Sofort umsetzen (kostenlos):

  • Webseite hinter Cloudflare Free stellen
  • Origin-Server-IP nicht öffentlich (nur Cloudflare-IPs dürfen anfragen)
  • Rate Limiting auf Login und API-Endpoints (nginx/Apache)

Günstig (< 200 €/Monat):

  • Cloudflare Pro: Erweiterte WAF, besserer DDoS-Schutz
  • Hetzner DDoS-Schutz (in Cloud-Hosting inkludiert)

Enterprise (auf Anfrage):

  • Akamai/AWS Shield Advanced für kritische Services
  • Redundante Anbindung mit BGP-Failover

Reaktionsplan bei DDoS-Angriff

Erkennung (automatisch durch Monitoring):

  • Erhöhter Traffic, Latenz-Anstieg, Availability-Alarm

Sofortmaßnahmen (0-5 Minuten):

  • Cloudflare “I’m Under Attack” Mode aktivieren
  • Rate Limiting verschärfen
  • ISP kontaktieren für Upstream-Filter

Analyse (5-30 Minuten):

  • Traffic-Charakteristik: Volumetrisch? Layer 7?
  • Angriffs-Quellen: Geografisch? Bestimmte Botnet-Signatur?
  • Ziel: Nur eine IP/Domain? Alle Services?

Mitigation (je nach Typ):

  • Volumetrisch: Upstream-Blackholing oder Scrubbing-Center
  • Layer 7: WAF-Regeln verschärfen, CAPTCHA einschalten
  • Geoblocking wenn Angriff aus bestimmter Region

Dokumentation:

  • Traffic-Logs sichern (für Forensik, Versicherung)
  • Zeitverlauf dokumentieren

Compliance-Anforderungen

NIS2 Art. 21: Verfügbarkeit und Schutz vor Angriffen auf IKT-Systeme - DDoS-Schutz ist implizite Anforderung.

BSI IT-Grundschutz NET.3.2: Firewall und DDoS-Schutz als Anforderung für kritische Netzdienste.

DORA (Finanzsektor) Art. 11: IKT-Betriebsstabilität - DDoS-Resilienz Teil der Business Continuity.

AWARE7 Leistungen zum Thema

Penetrationstest ISO 27001 Beratung

Ausführlicher Wiki-Artikel

Cloud Security: Sicherheit in AWS, Azure und GCP - Der komplette Guide

22 min Lesezeit

DDoS-Angriffe: Typen, Abwehr und aktuelle Bedrohungslage

10 min Lesezeit

Kritische Infrastruktur (KRITIS): Definition, Schutz und NIS2

13 min Lesezeit

Netzwerksicherheit: Architekturen, Technologien und Best Practices

14 min Lesezeit

Verwandte Begriffe

Botnet DDoS (Distributed Denial of Service) Firewall Netzwerksicherheit WAF (Web Application Firewall)
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung