Anti-DDoS-Schutz eines Hostings verstehen

Verfasst von · Veröffentlicht am · Aktualisiert am

Alles über DDoS-Angriffe und den Anti-DDoS-Schutz Ihres Hosters. L3-, L4-, L7-Ebenen einfach erklärt.

VPS-Angebote ansehen Angebot anfordern

Ein DDoS-Angriff (Distributed Denial of Service) besteht darin, Ihren Server mit Anfragen zu überfluten, um ihn unzugänglich zu machen. Laut Cloudflare haben mehr als 30% der Sites im letzten Jahr mindestens einen DDoS-Angriff erlitten.

Der Anti-DDoS-Schutz Ihres Hosters filtert diese Angriffe, bevor sie Ihren Server erreichen. By-Hoster bietet L3/L4/L7-Anti-DDoS-Schutz bei allen Angeboten.

In 2026 sind DDoS-Angriffe alltäglich geworden: "DDoS-as-a-Service"-Kits für wenige Euro in Foren verfügbar, massive IoT-Botnets (Mirai und Varianten), Angriffskapazitäten über einem Terabit pro Sekunde. Jede Online-Site oder jeder Server kann zum Ziel werden, zufällig oder absichtlich. Dieser Leitfaden erklärt die tatsächliche Funktionsweise eines DDoS-Angriffs, gängige Typen, Mitigationsmethoden und wie man prüft, ob der vom Hoster beworbene Schutz seriös ist.

Die 3 DDoS-Angriffsebenen

  • L3 (Network Layer): Netzwerkangriffe (ICMP-Flood, IP-Fragmentierung). Massives Volumen (Tbps möglich)
  • L4 (Transport Layer): TCP-/UDP-Angriffe (SYN-Flood, UDP-Flood). Sättigen die Verbindungstabelle
  • L7 (Application Layer): HTTP-/HTTPS-Angriffe (Slowloris, HTTP-Flood). Imitieren legitimen Traffic, schwerer zu filtern

Gängige DDoS-Angriffsarten in 2026

Über die OSI-Ebenen hinaus werden DDoS-Angriffe nach Technik klassifiziert. Die wichtigsten zu kennen hilft zu verstehen, was ein seriöser Anti-DDoS filtern können muss.

  • SYN-Flood: Der Angreifer sendet massenhaft TCP-SYN-Pakete, ohne jemals den 3-Way-Handshake abzuschließen, und sättigt die Verbindungstabelle des Servers. Mitigation: SYN-Cookies, Rate Limiting pro IP.
  • UDP-Flood: Massenversand von UDP-Paketen auf zufällige Ports. Der Server versucht "port unreachable" zu antworten und sättigt die Bandbreite. Mitigation: UDP Rate Limiting, Blackhole ungenutzter Ports.
  • DNS-/NTP-/Memcached-Amplifikation: Der Angreifer fragt einen DNS-/NTP-/Memcached-Server mit einer gefälschten Quell-IP (Ihre IP) ab, der Server antwortet mit einem 50-50000x größeren Payload. Beobachtete Rekordkapazität: 2,5 Tbps via Memcached.
  • HTTP-Flood (L7): Tausende Bots senden scheinbar legitime GET/POST-Anfragen, aber auf teuren URLs (Suche, Warenkorb, Login). Mitigation: JavaScript-Challenge, CAPTCHA, Bot-Fingerprinting.
  • Slowloris: Öffnen Tausender fast leerer HTTP-Verbindungen, die sehr langsam aufrechterhalten werden. Sättigt Apache/Nginx-Worker ohne große Bandbreite. Mitigation: aggressive Timeouts, mod_qos.
  • Ransom DDoS (RDoS): Erpressung des Typs "zahlen Sie X Bitcoins oder wir starten einen Y Gbps Angriff". In 2026 haben mehrere Gruppen (REvil, Lapsus$) diese Praxis wieder aufgenommen.

So funktioniert By-Hoster Anti-DDoS

Unsere Upstream-Filter-Infrastruktur (Kapazität Multi-Tbps) analysiert den Traffic in Echtzeit und blockiert bösartige Pakete, bevor sie Ihren Server erreichen. Automatische L3/L4-Filterung und anpassbare L7-Anwendungsregeln.

  • Upstream-Filterung (BGP-Scrubbing): Der Traffic, der für unsere IP-Bereiche bestimmt ist, durchläuft Filter-Kollektoren, bevor er unser Datacenter DC-FR_NA(01) in Nouvelle-Aquitaine erreicht. Bösartige Pakete werden an der Quelle eliminiert.
  • Automatische Erkennung: Baseline-Algorithmen (Lernen des normalen Traffics) + bekannte Signaturen (DDoS-Kits) + Heuristiken (Paket-Rate pro Quell-IP). Auslösung der Mitigation in wenigen Sekunden.
  • L3/L4-Filterung: automatisch verwaltet, transparent für den Kunden. Blockiert SYN-Floods, UDP-Floods, Reflexionsamplifikationen (DNS, NTP, Memcached, SSDP), missbräuchliche Fragmentierung.
  • L7-Mitigation: konfigurierbare Anwendungsregeln (Rate Limit pro URL, JS-Challenge, User-Agent-Blockierung, Geoblocking). Der Kunde kann über das Panel oder den technischen Support anpassen.
  • Keine Serviceunterbrechung: Legitime Nutzer bemerken nichts (vielleicht +5-20 ms Latenz während aktiver Mitigation). Ihre Site bleibt zugänglich.

Was tun bei einem laufenden DDoS-Angriff?

Selbst mit seriösem Upstream-Anti-DDoS verbessern bestimmte Aktionen Ihrerseits die Resilienz. Hier die Checkliste, die bei einem erkannten Angriff durchzugehen ist (anormale Latenz, 503-Fehler, Monitoring-Alarme):

  • Angriff bestätigen: tail -f /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -rn | head -20 listet die IPs, die am meisten zuschlagen. Wenn Sie 50+ ausländische IPs mit Hunderten von Anfragen/Sek jeweils sehen, ist es wahrscheinlich ein Angriff.
  • Sofort den Hoster-Support kontaktieren: Ein seriöser Support aktiviert eine verstärkte Mitigation innerhalb von Minuten. Geben Sie ihnen die angegriffene IP, Logs und die Startzeit.
  • Einen "Under-Attack"-Modus aktivieren: Cloudflare bietet einen JS-Challenge-Modus, der alle Besucher zwingt, eine Browser-Challenge zu bestehen. Blockiert 99% der Bots, verschlechtert die menschliche UX leicht.
  • Rate-Limit auf Anwendungsebene: In Nginx fügen Sie hinzu limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; dann limit_req zone=one burst=20; im Location-Block.
  • Temporäres Geoblocking: Wenn der Angriff hauptsächlich aus einem Land kommt, in dem Sie keinen legitimen Traffic haben, blockieren Sie dieses Land mit iptables + GeoIP oder über Cloudflare in wenigen Klicks.
  • Für später dokumentieren: Bewahren Sie Logs, IPs, Muster auf. Einem DDoS-Angriff folgen oft weitere Versuche, und Ihre Logs helfen, die Mitigationsregeln zu verfeinern.

Mythen und Missverständnisse über Anti-DDoS

  • "Meine Site ist zu klein, um angegriffen zu werden": Falsch. Opportunistische Angriffe zielen auf ganze IP-Bereiche, Ihre Nachbar-IP reicht, damit Sie als Nebeneffekt getroffen werden. RDoS zielt auf zufällige KMU für eine "moderate" Lösegeldforderung.
  • "Kostenloses Cloudflare reicht für alles": Cloudflare schützt nur HTTP/HTTPS-Traffic, der durch ihr Netzwerk geht. Wenn jemand Ihre Origin-IP kennt (über historisches DNS-Leak, SSL-Zertifikat, Mail-Header), bypasst er Cloudflare und greift direkt an. Schutz auf Hoster-Ebene bleibt unverzichtbar.
  • "Anti-DDoS verlangsamt meine Site": Im Normalzustand (kein Angriff) fügt ein gut gemachtes Anti-DDoS < 1 ms Latenz hinzu. Während aktiver Mitigation bis zu 5-20 ms. Es ist unsichtbar im Vergleich zu einem nicht gemilderten Angriff, der die Site unzugänglich macht.
  • "Ich brauche eine Firewall auf meinem VPS, um DDoS zu blockieren": Falsch für volumetrische Angriffe (L3/L4). Wenn Ihre 1-Gbps-Leitung von 100 Gbps Angriff gesättigt ist, ist Ihre Firewall nutzlos: Der Traffic ist bereits in Ihrer Schnittstelle. Die Filterung muss upstream erfolgen. Firewall bleibt nützlich für gezielte L7-Angriffe.
  • "Wenn ich Anti-DDoS habe, brauche ich kein fail2ban mehr": Falsch. Anti-DDoS = verteilt volumetrisch. fail2ban = gezielter Bruteforce/Scan. Beide sind komplementär, nicht ersetzend.

Wie überprüft man, ob der vom Hoster beworbene Schutz seriös ist?

Viele Hoster werben mit "Anti-DDoS inklusive", ohne Details. Hier die Kriterien, um echten Schutz von leerem Marketing zu unterscheiden:

  • Beworbene Filterkapazität: Ein seriöser Anti-DDoS gibt seine Kapazität an (Gbps oder Tbps). Wenn die Doku vage bleibt, fragen Sie den Support nach der Mitigationskapazität pro IP und global.
  • L3/L4/L7-Ebenen: Ein professioneller Anti-DDoS filtert alle 3 Ebenen. Wenn das Angebot nur "Netzwerkfilterung" ohne L7 erwähnt, sind Sie anfällig für HTTP-Floods.
  • Always-On vs Trigger-basiert: "Always-On" ist besser (sofortige Mitigation). "Trigger-basiert" impliziert einige Sekunden/Minuten Ausfallzeit, bevor der Schutz aktiviert wird.
  • Inklusive vs kostenpflichtige Option: Ein Anti-DDoS, der extra berechnet wird, ist ein negatives Signal. Seriöse Hoster schließen ihn ein (die Kosten sind marginal vs der Filterinfrastruktur).
  • Post-Angriff-Kommunikation: Bitten Sie darum, einen typischen Post-Mortem-Bericht zu sehen. Ein seriöser Hoster liefert nach einem Angriff: Datum, Dauer, Volumen, Angriffstyp, Haupt-Quell-IPs.

Häufig gestellte Fragen

Ja, jede Website kann Opfer werden, oft zufällig (Teil eines angegriffenen IP-Bereichs) oder gezielt (Konkurrent, verärgerter ehemaliger Nutzer). Deshalb sollte Anti-DDoS inklusive sein, nicht als kostenpflichtige Option.

Unsere Filterkapazität ist Multi-Tbps, weit über typischen Angriffen (1-50 Gbps). Weltweit rekordverdächtige Angriffe (3 Tbps) liegen innerhalb unserer Mitigationskapazitäten.

Sehr wenig. "DDoS-as-a-Service"-Dienste (Booter, Stresser) sind für 5 bis 50 €/Monat in Underground-Foren verfügbar und liefern auf Abruf 10-100 Gbps Angriff. Genau deshalb sind Angriffe alltäglich geworden: Das Kosten/Schaden-Verhältnis ist dramatisch zugunsten des Angreifers.

Cloudflare ist ausgezeichnet auf L7-Ebene und für HTTP/HTTPS-Traffic, erfordert aber, dass Ihre Origin-IP nie exponiert wird. In der Praxis leakt die IP oft (alte DNS-Einträge, historische SSL-Zertifikate, Mail-Header). Anti-DDoS-Schutz auf Hoster-Ebene bleibt komplementär und unverzichtbar, um Angriffe zu blockieren, die Cloudflare direkt auf der IP umgehen.

Ein DoS (Denial of Service) kommt von einer einzigen Quelle (ein Angreifer, eine IP). Leicht zu blockieren (Firewall). Ein DDoS (Distributed DoS) kommt von tausenden verteilten Quellen (Botnet infizierter Maschinen). Unmöglich serverseitig zu blockieren, erfordert Upstream-Filterung beim Hoster oder einem spezialisierten Dienst.

Ja, wenn kompromittiert. Ein schlecht gesicherter Server (schwache Passwörter, exponierte Dienste, ungepatchte Pakete) kann in ein Botnet rekrutiert werden und an Angriffen teilnehmen. Konsequenzen: Ihre IP auf der Blacklist, Ihr Hoster kann das Konto sperren. Maßnahmen: SSH per Schlüssel, fail2ban, UFW, Auto-Updates, Überwachung der ausgehenden Bandbreite.

Das Blackhole ist die ultimative Maßnahme: Der Hoster kündigt Ihre IP als "nicht routbar" via BGP an, was den gesamten Ziel-Traffic ins Leere wirft. Ihre Site wird unzugänglich, aber die Infrastruktur des Hosters ist geschützt. Ein Blackhole dauert typischerweise 1-4h, bis sich der Angriff beruhigt. Diese Maßnahme wird nur als letztes Mittel für massive Angriffe verwendet, die keine Mitigation absorbieren kann.

Auch interessant