Was ist ein DDoS-Angriff und wie schützen Sie sich

Was ist ein DDoS-Angriff?

Ein DDoS-Angriff (Distributed Denial of Service) ist der Versuch, eine Website oder einen Online-Dienst unzugänglich zu machen, indem er mit einer riesigen Menge an gefälschtem Traffic überflutet wird. Stellen Sie sich vor, Tausende von Menschen versuchen gleichzeitig, einen kleinen Laden zu betreten – echte Kunden kommen nicht mehr hinein, weil die Tür blockiert ist. Auf dieselbe Weise überschwemmt ein DDoS-Angriff Ihren Server mit Anfragen, sodass legitime Besucher Ihre Website nicht mehr erreichen können.

Das Wort "Distributed" (verteilt) ist entscheidend – der Angriff kommt nicht aus einer einzigen Quelle, sondern von Tausenden oder Millionen kompromittierter Geräte (einem Botnet) auf der ganzen Welt. Das erschwert die Abwehr, da Sie nicht einfach eine einzelne IP-Adresse blockieren können.

Arten von DDoS-Angriffen

Volumetrische Angriffe (Layer 3/4)

Diese Angriffe versuchen, Ihren Server oder Ihre Netzwerkinfrastruktur mit enormen Datenmengen zu überfluten. Ziel ist es, die gesamte verfügbare Bandbreite aufzubrauchen, sodass legitimer Traffic nicht mehr durchkommt.

• UDP Flood: Sendet riesige Mengen an UDP-Paketen an zufällige Server-Ports. Der Server verbraucht Ressourcen beim Versuch, jedes Paket zu verarbeiten.
• ICMP Flood (Ping Flood): Überschwemmt den Server mit ICMP-Echo-Request-Paketen. Einfach, aber für kleinere Websites effektiv.
• DNS Amplification: Nutzt offene DNS-Server, um den Angriff zu verstärken – eine kleine Anfrage erzeugt eine große Antwort, die an das Opfer gesendet wird.

Protokollangriffe (Layer 3/4)

Diese Angriffe nutzen Schwächen in Netzwerkprotokollen aus, um Serverressourcen oder Netzwerkgeräte wie Firewalls und Load-Balancer zu erschöpfen.

• SYN Flood: Sendet eine enorme Menge an TCP-SYN-Anfragen, ohne den Handshake abzuschließen. Der Server hält halboffene Verbindungen, die Arbeitsspeicher verbrauchen.
• Ping of Death: Sendet fehlerhafte oder übergroße Pakete, die den Server zum Absturz bringen können.
• Smurf Attack: Verwendet Broadcast-Adressen, um den ICMP-Traffic in Richtung des Opfers zu verstärken.

Anwendungsangriffe (Layer 7)

Der ausgefeilteste Angriffstyp, der auf Webanwendungen abzielt. Diese Angriffe imitieren legitimen Traffic und sind nur schwer von echten Besuchern zu unterscheiden.

• HTTP Flood: Sendet legitime HTTP-GET- oder POST-Anfragen in riesiger Zahl. Jede Anfrage wirkt für sich genommen normal, doch zusammen überlasten sie den Server.
• Slowloris: Öffnet viele Verbindungen zum Server und hält sie durch das Senden unvollständiger Anfragen offen. Der Server hält alle Verbindungen aktiv, bis ihm die Ressourcen ausgehen.
• Anwendungsspezifische Angriffe: Zielen auf konkrete Funktionen der Website – Suche, Login, API-Endpunkte – die mehr Serverressourcen zur Verarbeitung erfordern.

Wie erkennen Sie einen DDoS-Angriff?

DDoS-Angriffe äußern sich durch mehrere Symptome, die Sie so früh wie möglich erkennen sollten:

• Die Website ist extrem langsam: Seiten laden viel langsamer als gewöhnlich oder lassen sich gar nicht mehr laden.
• Der Server ist nicht erreichbar: Sie erhalten Fehler wie 502 Bad Gateway, 503 Service Unavailable oder Timeouts.
• Ungewöhnlicher Traffic-Anstieg: Die Analytics zeigen einen enormen Anstieg an Besuchen, der sich nicht durch normale Gründe erklären lässt.
• Hohe CPU-/RAM-Auslastung am Server: Die Serverressourcen liegen ohne erkennbaren Grund bei 100 %.
• Anfragen von ungewöhnlichen Orten: Wenn Ihre Website deutschsprachig ist und Sie plötzlich Tausende Besuche aus Ländern wie China oder Brasilien erhalten, ist das verdächtig.

Schutz über Cloudflare

Cloudflare ist der bekannteste Dienst für DDoS-Schutz und ist mit einem kostenlosen Plan verfügbar, der den grundlegenden Schutz abdeckt. So funktioniert er:

Wie Cloudflare Ihre Website schützt

Cloudflare fungiert als Vermittler zwischen Ihrer Website und den Besuchern. Der gesamte Traffic läuft über das Cloudflare-Netzwerk, das mehr als 300 Rechenzentren weltweit umfasst. Bösartiger Traffic wird gefiltert, bevor er Ihren Server erreicht.

• Anycast-Netzwerk: Verteilt den Angriff auf viele Standorte, anstatt dass der gesamte Traffic auf einen einzigen Server trifft.
• WAF (Web Application Firewall): Filtert bösartige Anfragen auf Anwendungsebene.
• Rate Limiting: Begrenzt die Anzahl der Anfragen von einer IP-Adresse innerhalb eines bestimmten Zeitfensters.
• Bot Management: Nutzt maschinelles Lernen, um legitime Besucher von Bots zu unterscheiden.
• Under Attack Mode: Ein spezieller Modus, der vor dem Zugriff auf die Website eine JavaScript-Challenge-Seite anzeigt und so die meisten automatisierten Angriffe blockiert.

Cloudflare einrichten

• Erstellen Sie ein kostenloses Konto auf cloudflare.com.
• Fügen Sie Ihre Domain hinzu und ändern Sie die Nameserver beim Registrar auf die Cloudflare-Nameserver.
• Aktivieren Sie den "Proxy"-Status (orangefarbene Wolke) für alle DNS-Einträge, die Sie schützen möchten.
• Stellen Sie den SSL-Modus auf "Full (strict)" für die HTTPS-Verschlüsselung ein.
• Konfigurieren Sie das Security Level auf "Medium" oder "High" für sensible Websites.

Schutz auf Hosting-Ebene

Ein hochwertiger Hosting-Anbieter ist Ihre erste Verteidigungslinie gegen DDoS-Angriffe. Darauf sollten Sie achten:

• Netzwerk-Firewall: Eine Hardware-Firewall, die bösartigen Traffic filtert, bevor er den Server erreicht.
• DDoS-Mitigation: Automatische Erkennung und Blockierung von DDoS-Angriffen auf Netzwerkebene.
• Konto-Isolation: Auf Shared Hosting stellt CloudLinux/CageFS sicher, dass ein Angriff auf ein Konto die anderen nicht beeinträchtigt.
• ModSecurity/WAF: Eine Web Application Firewall auf Server-Ebene, die vor Layer-7-Angriffen schützt.
• Rate Limiting: Begrenzung der Anzahl der Verbindungen pro IP-Adresse auf Ebene des Webservers (LiteSpeed/Apache).

Zusätzliche Schutzmaßnahmen

Auf Anwendungsebene

• CAPTCHA bei Formularen: Verhindert das automatisierte Absenden von Formularen. Google reCAPTCHA oder hCaptcha sind kostenlose Optionen.
• Login-Rate-Limiting: Begrenzen Sie die Anzahl der Anmeldeversuche (Wordfence für WordPress, Fail2ban auf dem Server).
• Caching: Zwischengespeicherte Seiten verbrauchen pro Anfrage deutlich weniger Ressourcen. Mehr dazu erfahren Sie in unserem Leitfaden zur Beschleunigung der Website, der Ihre Seite widerstandsfähiger gegen Angriffe macht.
• XML-RPC deaktivieren: Auf WordPress-Websites ist die Datei xmlrpc.php ein häufiges Angriffsziel. Deaktivieren Sie sie, wenn Sie sie nicht nutzen.

Auf Server-Ebene

• Fail2ban: Blockiert automatisch IP-Adressen, die bösartiges Verhalten zeigen (zu viele fehlgeschlagene Anmeldungen, zu viele Anfragen).
• iptables/nftables-Regeln: Richten Sie grundlegende Regeln ein, um offensichtlich bösartigen Traffic zu blockieren.
• TCP SYN Cookies: Schutz vor SYN-Flood-Angriffen auf Kernel-Ebene.
• Verbindungslimits: Begrenzen Sie die maximale Anzahl gleichzeitiger Verbindungen pro IP-Adresse.

Was tun während eines DDoS-Angriffs?

• Keine Panik: Die meisten DDoS-Angriffe dauern von wenigen Minuten bis zu einigen Stunden. Selten dauern sie länger als einen Tag.
• Aktivieren Sie den Cloudflare Under Attack Mode: Wenn Sie Cloudflare verwenden, schalten Sie diesen Modus sofort ein.
• Kontaktieren Sie Ihren Hosting-Anbieter: Informieren Sie ihn über den Angriff – er kann zusätzliche Maßnahmen auf Netzwerkebene ergreifen.
• Analysieren Sie die Logs: Sehen Sie sich die Access-Logs an, um Angriffsmuster zu erkennen (IP-Bereiche, User-Agent-Strings, anvisierte URLs).
• Dokumentieren Sie den Angriff: Notieren Sie Beginn, Dauer, Angriffstyp und ergriffene Maßnahmen für künftige Referenz.

Fazit

DDoS-Angriffe sind Realität des modernen Internets und keine Website ist vollständig immun. Mit den richtigen Schutzmaßnahmen – Cloudflare, hochwertigem Hosting, einer WAF und grundlegenden Sicherheitspraktiken – können Sie das Risiko jedoch erheblich senken und die Auswirkungen eines Angriffs minimieren. Vorbeugen ist immer günstiger als heilen – richten Sie den Schutz ein, bevor Sie ihn brauchen. Lesen Sie auch unseren kompletten Leitfaden zum Schutz der Website.