Wie man DDoS-Angriffe stoppt
Ein Distributed-Denial-of-Service-(DDoS)-Angriff überwältigt ein Ziel mit Verkehr aus vielen Quellen, sodass der Service für legitime Nutzer unverfügbar wird. DDoS zu stoppen erfordert schnelle Erkennung, Filterung von schlechtem Verkehr bevor er Ihre Server erreicht, und Absorption der Lautstärke die durchkommt. Die meisten modernen Defenses sind CDN-basiert.
Typen von DDoS-Angriffen
| Typ | Layer | Beispiel | Primäre Verteidigung |
|---|---|---|---|
| Volumetrisch | 3/4 (Network) | UDP-Flood, ICMP-Flood, DNS-Amplification | CDN-Absorption, Scrubbing |
| Protokoll | 3/4 (Network) | SYN-Flood, Fragment-Packet-Attack | Stateful-Firewall, SYN-Cookies |
| Anwendung | 7 (HTTP) | HTTP-Flood, Slowloris, Layer-7-DDoS | WAF-Regeln, Rate-Limiting, Bot-Detection |
10 Taktiken zum Stoppen von DDoS-Angriffen
1. CDN mit eingebautem DDoS-Schutz nutzen
Cloudflare, AWS CloudFront + Shield, Akamai, Fastly. Sie absorbieren volumetrische Attacks am Edge mit massiver Backbone-Kapazität (Tbps).
2. WAF-Regeln aktivieren
WAF blockt böswillige Request-Patterns am Edge — SQL-Injection, XSS, OWASP Top 10.
3. Rate-Limit pro IP und Session
Per-IP Rate-Limits am CDN oder Load-Balancer konfigurieren (z.B. 100 req/min pro IP).
4. Anycast-Routing nutzen
Anycast spreizt eingehenden Verkehr über viele geografische Standorte.
5. Am Network-Edge mit Scrubbing-Services filtern
Für zu große Attacks für Inline-Mitigation re-routen Scrubbing-Services Verkehr durch spezialisierte Cleaning-Center.
6. Bot-Management implementieren
Sophisticated Bot-Detection (Cloudflare Bot Management, DataDome) nutzt behavioral Fingerprinting.
7. Stateful SYN-Flood-Schutz nutzen
SYN-Floods erschöpfen Server-Connection-Tables. Lösungen: SYN-Cookies, Connection-Rate-Limiting.
8. Verkehr aus verdächtigen Geografien blockieren
Wenn Ihr Business nur bestimmte Länder bedient, alle anderen am Edge blockieren.
9. Aggressiv cachen
Wenn 95% der Requests vom CDN-Cache bedient werden, handhabt Ihr Origin nur 5%.
10. Incident-Response-Plan haben
Wissen, wen anzurufen (CDN-Notfall-Line, DDoS-Scrubbing-Provider).
Was NICHT tun
- Nicht versuchen, Attacks am Origin zu absorbieren.
- Nicht allein auf Null-Routing verlassen.
- Layer 7 nicht ignorieren weil Layer 3/4 mitigiert ist.
- Kein Lösegeld zahlen.
- Detection-Zeit nicht unterschätzen.
DDoS-Schutz testen
- Mit Ihrem CDN koordinieren.
- Rate-Limit-Schwellenwerte testen.
- Layer-7-Floods simulieren.
- Incident-Response üben.
FAQ: DDoS-Angriffe stoppen
Kann ich einen DDoS-Angriff selbst stoppen?
Kleine Attacks: vielleicht. Mittlere bis große (>1 Gbps): brauchen CDN oder Scrubbing-Service.
Wie lange dauern DDoS-Angriffe?
Durchschnitt: 30-60 Minuten. Manche persistieren tagelang.
Stoppt ein CDN alle DDoS-Angriffe?
Es blockt die meisten volumetrischen Attacks am Edge. Application-Layer-Attacks brauchen zusätzliche WAF-Regeln + Bot-Management.
Was kostet DDoS-Schutz?
Cloudflares Free Tier bietet basic DDoS-Schutz. Pro $20/Monat, Business $200/Monat. AWS Shield Advanced: $3.000/Monat.
Wie weiß ich, ob ich unter DDoS-Angriff stehe?
Plötzliche Traffic-Spikes von vielen IPs, Server unresponsive, Error-Raten klimmen, Monitoring-Alerts feuern.
Kann ich DDoS-Angriffe komplett verhindern?
Nein — jeder kann einen DDoS-Versuch starten. Aber richtige Defenses machen die meisten Attacks ineffektiv.
DDoS-Defenses mit LoadFocus testen
Wenn Sie Ihre DDoS-Schutz-Schwellenwerte validieren, läuft LoadFocus HTTP-Lasttests bis 12.500 VUs aus 25+ Cloud-Regionen. Registrieren bei loadfocus.com/signup.
Verwandte LoadFocus-Tools
Setze dieses Konzept mit LoadFocus in die Praxis um — derselben Plattform, die alles antreibt, was du gerade gelesen hast.