Was sind DDoS-Angriffe und wie schützen Sie Ihre Server?

DDoS-Angriffe (Distributed Denial of Service) stiegen 2024 weltweit um 46 % — laut Cloudflare-Bericht. Wenn Sie eines Tages nicht “Server reagiert nicht” sehen wollen, müssen Sie Ihre Verteidigung heute aufbauen. Dieser Beitrag erklärt DDoS-Typen, ihre Erkennung und wirksame Verteidigungsschichten.

Was ist DDoS?

Ein klassischer DoS-Angriff überhäuft Ihren Server mit Tausenden Anfragen aus einer Quelle. Bei DDoS kommt dies von Tausenden oder Millionen IPs (meist Botnets) gleichzeitig. Der Server bleibt beschäftigt, echte Nutzer erreichen die Site nicht.

Einfacher Vergleich: Ein Restaurant für 50 Gäste; plötzlich stehen 5.000 Leute vor der Tür — echte Kunden kommen nicht rein. Das ist DDoS — Bandbreite oder CPU sättigen.

DDoS-Angriffstypen

1. Volumetrische Angriffe

Ziel: Leitung füllen. Gemessen in Gbit/s.

• UDP Flood: schickt UDP-Pakete an zufällige Ports
• ICMP Flood: flutet das Netz mit Pings
• DNS-Amplification: gefälschte Anfragen an DNS-Server, vergrößerte Antworten an das Ziel (1 GB Anfrage → 50 GB Antwort)

Lösung: Backbone-Level-Scrubbing — ISP/Rechenzentrum reinigt Traffic, bevor er den Server erreicht.

2. Protokoll-Angriffe

Ziel: Server-Ressourcen erschöpfen (CPU, Verbindungs-Tabelle). Gemessen in Paketen/Sek.

• SYN Flood: TCP-Handshake wird nie abgeschlossen, Server hält offene Verbindungen
• Ping of Death: fehlerhafte ICMP-Pakete
• Smurf-Attacke: ICMP-Pakete an Broadcast-Adressen

Lösung: SYN-Cookies, Firewall-Regeln, Verbindungs-Ratenlimits.

3. Application-Layer-Angriffe (Layer 7)

Ziel: Web-App ermüden. Gemessen in Anfragen/Sek. Am gefährlichsten, am schwersten zu erkennen.

• HTTP Flood: legitim aussehende GET/POST-Anfragen via Botnet
• Slowloris: öffnet langsam Verbindungen und schließt sie nie
• WordPress XML-RPC-Missbrauch: nutzt WPs eigenen Endpunkt, um die DB zu strapazieren

Lösung: WAF (Web Application Firewall), Bot-Erkennung, Rate-Limiting pro IP.

Verteidigungsschichten (4 Ebenen)

DDoS-Schutz ist nicht die Aufgabe eines Tools — Sie brauchen mehrschichtige Sicherheit:

Schicht 1 — CDN / Reverse Proxy

Cloudflare (Free-Plan reicht) nimmt Traffic zuerst entgegen:

• Volumetrische Angriffe auf 200+ Tbps Backbone abfangen
• Bot-Traffic per Fingerprint trennen
• WAF gegen L7-Angriffe

Setup: ~10 Minuten (DNS-Änderung).

Schicht 2 — Rechenzentrum / Hosting-Seite

Gute Hoster reinigen Traffic, bevor er den Server erreicht. KavesNET-Server beispielsweise:

• Backbone-Level-DDoS-Schutz (kostenlos, integriert)
• Volumetrische Angriffe bis 10 Gbit/s abfangen
• Automatisches Routing über Scrubbing-Center bei Anomalien

Funktioniert auch ohne Cloudflare; beides zusammen ist die stärkste Verteidigung.

Schicht 3 — Server-Firewall + Rate-Limit

Einfache Regeln mit iptables / nftables oder ufw:

# Mehr als 100 Verbindungen aus derselben IP in 60s blockieren
iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW \
  -m recent --set --name HTTP

iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW \
  -m recent --update --seconds 60 --hitcount 100 --name HTTP -j DROP

Nginx-Ratenlimit:

limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;

location /api/ {
    limit_req zone=api burst=20 nodelay;
    proxy_pass http://backend;
}

Schicht 4 — Application-Seite

• WordPress: XML-RPC abschalten, 2FA + IP-Whitelist auf Login
• API: JWT + Rate-Limits pro Nutzer
• Bot-Erkennung: Cloudflare Turnstile, hCaptcha
• Health-Checks und Monitoring auf separatem Port

Was tun während eines Angriffs?

Wenn Sie gerade angegriffen werden, Schritt für Schritt:

1. Traffic analysieren: netstat -anp | grep :80 | wc -l für aktive Verbindungen
2. Cloudflare “Under Attack” mode: ein Klick aktiviert JS-Challenge
3. Hoster informieren: Backbone-Sniffing/Scrubbing anfordern
4. Angreifer-IPs/Ranges temporär blocken: fail2ban oder manuell iptables
5. Logs sichern: User-Agent, Referer-Muster helfen für künftige Verteidigung

Häufige Fehler

• Nur Cloudflare vertrauen: Wenn Origin-IP leakt, wird Cloudflare umgangen; per Firewall nur Cloudflare-IP-Ranges auf 80/443 erlauben
• Zu aggressives Rate-Limiting: blockiert echte Nutzer (mobile NAT bringt viele Nutzer aus einer IP)
• Kein Logging: für Post-Mortem nötig
• Keine Backups: Ransomware kann während Angriffen schlagen; Backups sind kritisch. Siehe unsere 3-2-1-Backup-Strategie

Wer ist gefährdet?

• E-Commerce-Shops — Angriff am Aktionstag = direkter Umsatzverlust
• Game-Server — rivalisierende Spieler bestellen tatsächlich DDoS (sehr häufig!)
• API-Server — abhängige Systeme leiden mit
• Nachrichten/Medien-Sites — politische oder kompetitive Motive
• Alle kommerziellen Sites — zufällige Erpressungsversuche

Fazit

DDoS ist kein “ob”, sondern ein “wann”. Unvorbereitet erwischt: 3–7 Tage Downtime + Tausende Euro Verlust. Vorbereitet: Minuten und null Verlust.

Richtige Reihenfolge: Cloudflare → Rechenzentrum-Schutz → Server-Firewall → Application-Seite — vier Schichten zusammen.

KavesNET-Server enthalten Backbone-Level-DDoS-Schutz kostenlos; mit Cloudflare kombiniert sterben die meisten Angriffe, bevor sie den Server erreichen. Server-Pakete ansehen → oder Kontakt aufnehmen bei hochrisikoreichen Projekten.

Verwandt: VDS vs VPS Unterschied · 3-2-1-Backup-Regel