Ein DDoS-Angriff ueberflutet den Server mit Anfragen, sodass er fuer legitime Benutzer nicht mehr erreichbar ist. Moderne Angriffe erreichen Hunderte von Gbps und Millionen von Anfragen pro Sekunde — kein einzelner Server oder Netzwerkanschluss kann sie absorbieren. Schutz erfordert mehrere Schichten, von der Netzwerkebene bis zur Anwendungsschicht, und kombiniert CDN, Rate Limiting und Auto-Scaling.
DDoS-Typen¶
- Volumetric: UDP Flood, DNS Amplification — Bandbreitensaettigung durch massives Datenvolumen
- Protocol: SYN Flood, Ping of Death — Ausnutzung von Netzwerkprotokollen zur Erschoepfung des Connection State
- Application: HTTP Flood, Slowloris — auf die Anwendungsschicht abzielend, schwerer zu erkennen
Volumetrische Angriffe sind am leichtesten zu erkennen (abnormales Volumen), erfordern aber Kapazitaet zur Absorption. Application-Level-Angriffe sind ausgefeilter — sie sehen wie legitimer Verkehr aus, ueberlasten aber spezifische Endpunkte (Suche, Login, API).
Schutz¶
- CDN/Proxy (Cloudflare, AWS CloudFront) — Absorption volumetrischer Angriffe am Edge
- Rate Limiting am Edge — Begrenzung der Anfragen pro IP-Adresse
- Auto-Scaling zur Absorption — horizontale Skalierung bei erhoehtem Verkehr
- Geo-Blocking — Blockierung von Verkehr aus Regionen, aus denen keine Benutzer erwartet werden
- Connection Limiting in Nginx — Begrenzung gleichzeitiger Verbindungen
# Nginx Rate Limiting
limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;
server {
location /api/ {
limit_req zone=api burst=20 nodelay;
}
}
Rate Limiting auf Nginx-Ebene schuetzt einzelne Endpunkte. Zone api reserviert 10 MB Shared Memory fuer die Verfolgung von IP-Adressen. Rate 10r/s erlaubt 10 Anfragen pro Sekunde pro IP, burst 20 erlaubt kurzfristige Spitzen. Fuer globalen Schutz kombinieren Sie mit Cloudflare oder AWS Shield.
Incident Response¶
Bereiten Sie ein DDoS-Response-Playbook im Voraus vor: ISP-Kontakte, Verfahren zur Aktivierung des Cloudflare Under Attack-Modus, Eskalationsmatrizen. Waehrend eines Angriffs ist es zu spaet, nach Dokumentation zu suchen. Testen Sie regelmaessig — Lasttests decken Schwachstellen auf, bevor ein Angreifer es tut.
Wichtigste Erkenntnis¶
CDN + Rate Limiting + Auto-Scaling bilden die grundlegende Verteidigungs-Triade. Cloudflare oder AWS Shield fuer volumetrische Angriffe, Application Rate Limiting fuer ausgefeilte Angriffe.