Ticket öffnen 
+373 79 600002 
Telegramm Live Chat 
Häufige Fragen 
Deutsch
English 
Русский 
Română 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
SicherheitDDoS-Angriffe: Typen, OSI-Modell-Schichten und wie Sie Ihre Infrastruktur schützen
Distributed Denial of Service (DDoS) Angriffe bleiben eine der störendsten und teuersten Bedrohungen für Online-Unternehmen, Webanwendungen und Hosting-Infrastruktur heute. Ob Sie eine kleine E-Commerce-Website betreiben oder Enterprise-Level-Server verwalten, das Verständnis dafür, wie DDoS-Angriffe funktionieren — und wie sie sich auf spezifische Schichten des OSI-Modells abbilden — ist die Grundlage jeder ernsthaften Verteidigungsstrategie.
In diesem umfassenden Leitfaden schlüsseln wir jeden großen DDoS-Angriffstyp auf, erklären, welche OSI-Schicht jeder angreift, skizzieren die realen Auswirkungen auf Ihr Unternehmen und führen Sie durch bewährte Abwehrstrategien, um Ihre Dienste online zu halten.
Was ist ein DDoS-Angriff?
Ein Distributed Denial of Service (DDoS) Angriff ist ein koordinierter, böswilliger Versuch, einen Zielserver, ein Netzwerk oder einen Dienst mit einem enormen Datenverkehrsvolumen oder ressourcenerschöpfenden Anfragen zu überlasten — wodurch er nicht mehr auf legitime Benutzer reagieren kann.
Im Gegensatz zu einem einfachen DoS-Angriff, der von einer einzelnen Maschine gestartet wird, nutzen DDoS-Angriffe Botnets: Netzwerke von Tausenden oder sogar Millionen kompromittierter Geräte (Computer, IoT-Geräte, Server), die das Ziel gleichzeitig überfluten. Die verteilte Natur macht diese Angriffe viel schwerer zu blockieren und viel mächtiger.
Das ultimative Ziel ist unkompliziert: Ressourcen des Ziels erschöpfen — Bandbreite, CPU, Speicher oder Verbindungskapazität — was zu Ausfallzeiten, beeinträchtigter Leistung und Dienstunterbrechung führt.
Das OSI-Modell: Warum es für DDoS-Verteidigung wichtig ist
Das OSI-Modell (Open Systems Interconnection) ist ein konzeptionelles Framework, das Netzwerkkommunikation in sieben unterschiedliche Schichten unterteilt, von denen jede für eine spezifische Funktion verantwortlich ist. DDoS-Angriffe sind absichtlich so konzipiert, dass sie Schwachstellen auf spezifischen Schichten ausnutzen, weshalb das Verständnis des Modells für die Diagnose und Verteidigung gegen sie unerlässlich ist.
| OSI-Schicht | Name | Funktion |
|---|---|---|
| Schicht 1 | Physisch | Hardware-Übertragung von Rohdaten |
| Schicht 2 | Datenverbindung | Knoten-zu-Knoten-Datenübertragung |
| Schicht 3 | Netzwerk | Routing und IP-Adressierung |
| Schicht 4 | Transport | End-to-End-Kommunikation (TCP/UDP) |
| Schicht 5 | Sitzung | Sitzungsverwaltung |
| Schicht 6 | Präsentation | Datenformatierung und Verschlüsselung |
| Schicht 7 | Anwendung | Benutzergerichtete Protokolle (HTTP, DNS, usw.) |
DDoS-Angriffe zielen hauptsächlich auf Schichten 3, 4 und 7 ab, von denen jede einen anderen Erkennungs- und Abwehransatz erfordert.
Arten von DDoS-Angriffen nach OSI-Schicht
1. Volumenbasierte Angriffe — Schicht 3 (Netzwerkschicht)
Volumenbasierte Angriffe sind die unkompliziertesten und oft die größten in Bezug auf das rohe Datenverkehrsvolumen. Ihr Hauptziel ist es, die verfügbare Bandbreite des Ziels oder der Netzwerkinfrastruktur, die es mit dem Internet verbindet, zu sättigen. Die Angriffsgröße wird typischerweise in Gigabit pro Sekunde (Gbps) oder Paketen pro Sekunde (PPS) gemessen.
#### ICMP-Flood (Ping-Flood)
Der Angreifer sendet eine massive Anzahl von ICMP Echo Request (Ping) Paketen an das Ziel. Der Server des Opfers wird gezwungen, jede Anfrage zu verarbeiten und eine entsprechende Antwort zu senden, was sowohl eingehende als auch ausgehende Bandbreite sowie CPU-Zyklen verbraucht. Wenn das Volumen die Kapazität des Servers übersteigt, wird legitimer Datenverkehr vollständig verdrängt.
Hauptmerkmal: Einfach auszuführen, oft als Ablenkung für anspruchsvollere gleichzeitige Angriffe verwendet.
#### UDP-Flood
Bei einem UDP-Flood sendet der Angreifer große Mengen von User Datagram Protocol (UDP) Paketen an zufällige Ports auf dem Zielhost. Da UDP verbindungslos und zustandslos ist, muss der Zielserver:
- Überprüfen, ob eine Anwendung auf dem Zielport lauscht.
- Mit einem ICMP-Paket „Ziel nicht erreichbar” antworten, wenn keine Anwendung gefunden wird.
Dieser Prozess, Millionen Mal pro Sekunde wiederholt, erschöpft schnell Serverressourcen und verfügbare Bandbreite.
#### Amplifikationsangriffe (DNS/NTP-Amplifikation)
Ein besonders gefährlicher Subtyp von Layer-3-Volumetrie-Angriffen, Amplifikationsangriffe nutzen öffentlich zugängliche Server (DNS-Resolver, NTP-Server, Memcached-Instanzen) aus, um Angriffsverkehr zu vervielfachen. Der Angreifer fälscht die IP-Adresse des Opfers und sendet kleine Anfragen an diese Server, die mit Antworten antworten, die 10x bis 100x größer sind — alle auf das Opfer gerichtet.
2. Protokollangriffe — Schicht 4 (Transportschicht)
Protokollangriffe nutzen Schwachstellen in den TCP/IP-Kommunikationsprotokollen selbst aus, anstatt einfach die Bandbreite zu überfluten. Sie zielen darauf ab, serverseitige Ressourcen wie Verbindungszustandstabellen, Firewall-Sitzungstabellen und Load-Balancer-Kapazität zu erschöpfen. Die Angriffsgröße wird in Paketen pro Sekunde (PPS) gemessen.
#### SYN-Flood
Der SYN-Flood ist eine der bekanntesten und am weitesten verbreiteten DDoS-Techniken. Er nutzt den TCP-Drei-Wege-Handshake aus:
- Der Client sendet ein SYN-Paket, um eine Verbindung zu initiieren.
- Der Server antwortet mit einem SYN-ACK und reserviert Ressourcen, während er auf das endgültige ACK wartet.
- Bei einem SYN-Flood sendet der Angreifer Tausende von SYN-Paketen — oft mit gefälschten Quell-IPs — vervollständigt aber nie den Handshake.
Die Verbindungstabelle des Servers füllt sich mit halboffenen Verbindungen, was verhindert, dass neue legitime Verbindungen akzeptiert werden. Dies ist ein hocheffektiver Angriff, auch bei relativ niedrigen Datenverkehrsvolumina.
#### Ping of Death
Der Ping of Death Angriff beinhaltet das Senden von fehlerhaften oder übergroßen Paketen an das Ziel. Die IPv4-Spezifikation begrenzt die Paketgröße auf 65.535 Bytes; wenn ein übergroßes Paket fragmentiert und wieder zusammengesetzt wird, kann es Pufferüberläufe, Systemabstürze oder Neustarts auf anfälligen Systemen verursachen. Während moderne Betriebssysteme weitgehend gegen klassische Ping of Death gepatcht wurden, entstehen weiterhin Varianten.
#### ACK-Flood
Bei einem ACK-Flood sendet der Angreifer eine große Menge von TCP ACK-Paketen an das Ziel. Da der Server keine Aufzeichnung der entsprechenden SYN-Pakete hat, muss er jedes verarbeiten, um festzustellen, dass es ungültig ist — was CPU und Speicher verbraucht.
3. Anwendungsschicht-Angriffe — Schicht 7 (Anwendungsschicht)
Anwendungsschicht-Angriffe sind die anspruchsvollsten und am schwierigsten zu erkennen, da sie legitimes Benutzerverhalten eng nachahmen. Anstatt Bandbreite zu überlasten oder Verbindungstabellen zu erschöpfen, zielen sie auf die Rechenressourcen spezifischer Anwendungen — Webserver, Datenbanken, APIs und Anmeldesysteme. Die Angriffsgröße wird in Anfragen pro Sekunde (RPS) gemessen.
#### HTTP-Flood
Ein HTTP-Flood sendet eine massive Anzahl scheinbar legitimer HTTP GET- oder POST-Anfragen an einen Webserver. Da jede Anfrage gültig erscheint, ist einfaches IP-basiertes Blocking unwirksam. Der Server muss jede Anfrage verarbeiten — Datenbanken abfragen, Seiten rendern, Skripte ausführen — bis er völlig überfordert ist und echte Benutzer nicht mehr bedienen kann.
GET-Floods zielen typischerweise auf ressourcenintensive Seiten (Suchergebnisse, Produktlisten).
POST-Floods zielen auf Formulare und Anmeldepunkte ab und zwingen den Server, große Mengen eingereichte Daten zu verarbeiten.
#### Slowloris
Slowloris ist ein einzigartig heimtückischer Angriff, der sehr wenig Bandbreite erfordert. Er funktioniert durch:
- Öffnen einer großen Anzahl von Verbindungen zum Ziel-Webserver.
- Senden von partiellen, unvollständigen HTTP-Request-Headern — gerade genug, um jede Verbindung am Leben zu erhalten.
- Periodisches Senden zusätzlicher Header-Zeilen, um Timeouts zu verhindern.
Der Server hält jede Verbindung offen und wartet darauf, dass die Anfrage abgeschlossen wird, wodurch sein maximaler Verbindungspool allmählich erschöpft wird. Sobald der Pool voll ist, können keine neuen legitimen Verbindungen akzeptiert werden — wodurch der Server effektiv offline genommen wird, während minimale Angreifer-Ressourcen verwendet werden.
#### DNS-Abfrage-Flood
Zielgerichtete DNS-Infrastruktur auf Schicht 7, Angreifer senden enorme Mengen von DNS-Lookup-Anfragen für nicht existierende oder zufällige Domainnamen. Der DNS-Server muss jede Abfrage verarbeiten, was CPU und Speicher verbraucht, bis er legitime Anfragen nicht mehr auflösen kann — wodurch das Ziel effektiv vom Internet getrennt wird.
#### SSL/TLS-Erschöpfung
Diese Angriffe nutzen die Rechenkosten von SSL/TLS-Handshakes aus. Das Aufbauen einer verschlüsselten Verbindung erfordert erhebliche CPU-Ressourcen auf der Serverseite. Durch das Initiieren von Tausenden von SSL-Handshakes pro Sekunde ohne deren Abschluss können Angreifer sogar gut ausgestattete Server überlasten.
Reale Auswirkungen von DDoS-Angriffen
Das Verständnis der technischen Mechanik ist nur die halbe Miete. Die geschäftlichen Konsequenzen eines erfolgreichen DDoS-Angriffs können schwerwiegend und langfristig sein:
Service-Ausfallzeiten und Umsatzverluste
Jede Minute, in der Ihre Website oder Anwendung offline ist, führt direkt zu Umsatzverlusten. Für E-Commerce-Plattformen, SaaS-Produkte und Online-Dienste können sogar wenige Stunden Ausfallzeit Tausende oder Zehntausende von Dollar kosten — ohne die indirekten Kosten der Kundenabwanderung.
Erhöhte Betriebskosten
Notfall-Incident-Response, zusätzliche Bandbreitenbeschaffung, spezialisierte Abwehrdienste und Überstunden für IT-Personal summieren sich schnell während und nach einem DDoS-Angriff.
Reputationsschaden
Kunden und Partner bemerken, wenn Dienste ausfallen. Wiederholte oder längere Ausfallzeiten untergraben Vertrauen, schädigen die Markenreputation und können Benutzer dauerhaft zu Konkurrenten treiben. Für Unternehmen in regulierten Branchen können Ausfallzeiten auch Compliance-Verstöße und damit verbundene Strafen auslösen.
Sicherheitsablenkung (Smokescreen-Angriffe)
Einige DDoS-Angriffe sind absichtlich als Ablenkungen konzipiert — sie halten Sicherheitsteams beschäftigt, während Angreifer gleichzeitig Datenverletzungen, Ransomware-Bereitstellungen oder andere Eindringungen durch unbeobachtete Vektoren ausführen.
DDoS-Abwehrstrategien: Ein praktischer Leitfaden
Effektive DDoS-Verteidigung erfordert einen geschichteten, proaktiven Ansatz, der Bedrohungen auf jeder OSI-Ebene adressiert. Keine einzelne Lösung ist ausreichend.
1. Wählen Sie Infrastruktur, die für Widerstandsfähigkeit ausgelegt ist
Ihre Hosting-Grundlage ist äußerst wichtig. Die Wahl eines Anbieters, der DDoS-bewusste Infrastruktur mit hochkapazitiven Netzwerk-Uplinks, Hardware-Level-Filterung und redundanter Konnektivität bietet, ist die erste Verteidigungslinie.
Wenn Sie geschäftskritische Anwendungen betreiben, erwägen Sie ein Upgrade auf einen VPS-Hosting Plan oder eine Dedicated Server Lösung, die dedizierte Ressourcen, größere Kontrolle über die Netzwerkkonfiguration und die Möglichkeit zur Implementierung benutzerdefinierter Firewall-Regeln bietet — alle kritischen Vorteile unter Angriff.
2. Implementieren Sie Traffic-Filterung und Firewalls
Stellen Sie zustandsbehaftete Firewalls und Intrusion Detection/Prevention Systeme (IDS/IPS) bereit, um eingehenden Datenverkehr zu inspizieren und Pakete automatisch zu verwerfen, die bekannten Angriffssignaturen entsprechen. Konfigurieren Sie Regeln für:
- Blockierung von Datenverkehr aus bekannten böswilligen IP-Bereichen und ASNs.
- Verwerfen fehlerhafter Pakete und ungültiger Protokollzustände.
- Einschränkung von ICMP- und UDP-Datenverkehr auf legitime Anwendungsfälle.
- Erzwingung strenger TCP-Zustandsvalidierung zur Bekämpfung von SYN-Floods.
3. Wenden Sie Rate Limiting an
Rate Limiting kontrolliert, wie viele Anfragen eine einzelne IP-Adresse oder Verbindung innerhalb eines definierten Zeitfensters stellen kann. Dies ist besonders wirksam gegen Layer-7-Angriffe wie HTTP-Floods und DNS-Abfrage-Floods. Implementieren Sie Rate Limiting auf mehreren Ebenen:
- Webserver-Ebene (NGINX, Apache)
- Application Firewall-Ebene (WAF-Regeln)
- CDN/Edge-Ebene (Cloudflare, Akamai)
4. Stellen Sie eine Web Application Firewall (WAF) bereit
Eine WAF operiert auf Schicht 7 und kann zwischen legitimen Benutzern und Angriffsverkehr basierend auf Verhaltensanalyse, Anfragemuster und Reputationsbewertung unterscheiden. Sie ist besonders wirksam gegen HTTP-Floods, Slowloris und anwendungsspezifische Exploits.
5. Verwenden Sie Anycast-Netzwerk-Diffusion
Anycast-Routing verteilt eingehenden Datenverkehr über mehrere geografisch verteilte Rechenzentren. Anstatt dass der gesamte Angriffsverkehr einen einzelnen Server trifft, wird er über das gesamte Netzwerk verteilt — wodurch seine Auswirkungen verdünnt werden und volumetrische Angriffe viel weniger wirksam werden.
6. Implementieren Sie Redundanz und Load Balancing
Die Verteilung Ihrer Anwendung über mehrere Server und geografische Regionen mit Load Balancern stellt sicher, dass selbst wenn ein Knoten überfordert ist, andere legitime Benutzer weiterhin bedienen. Diese Architektur verbessert auch die Leistung und Verfügbarkeit unter normalen Bedingungen.
7. Nutzen Sie spezialisierte DDoS-Schutzservices
Für Unternehmen, die mit ernsthaften oder anhaltenden DDoS-Bedrohungen konfrontiert sind, bieten dedizierte DDoS-Abwehrdienste (wie Cloudflare Magic Transit, Radware oder Imperva) ständige Traffic-Bereinigung — Reinigung böswilligen Datenverkehrs, bevor er Ihre Infrastruktur jemals erreicht.
8. Sichern Sie Ihre DNS-Infrastruktur
Da DNS ein häufiges DDoS-Ziel ist, stellen Sie sicher, dass Ihr DNS-Anbieter DDoS-resiliente Infrastruktur mit Anycast-Routing und Rate Limiting bietet. Erwägen Sie die Verwendung von DNSSEC, um DNS-Spoofing und Cache-Poisoning-Angriffe zu verhindern, die DDoS-Schäden verschärfen können.
9. Halten Sie SSL-Zertifikate gültig und ordnungsgemäß konfiguriert
Abgelaufene oder falsch konfigurierte SSL-Zertifikate können Schwachstellen schaffen, die Angreifer ausnutzen. Die Aufrechterhaltung gültiger SSL-Zertifikate stellt sicher, dass verschlüsselte Verbindungen effizient verarbeitet werden und reduziert die Anfälligkeit für SSL-Erschöpfungsangriffe.
10. Entwickeln und testen Sie einen Incident-Response-Plan
Ein dokumentierter, getesteter DDoS-Response-Plan reduziert die Zeit zur Abwehr eines Angriffs dramatisch. Ihr Plan sollte Folgendes enthalten:
- Klare Eskalationspfade und Kontaktlisten.
- Vorkonfigurierte Firewall-Regelvorlagen für häufige Angriffstypen.
- Beziehungen zu Upstream-Anbietern für Notfall-Null-Routing oder Traffic-Bereinigung.
- Post-Incident-Review-Verfahren zur Verbesserung der Verteidigung.
DDoS-Angriff Zusammenfassung: OSI-Schichten auf einen Blick
| Angriffstyp | OSI-Schicht | Zielressource | Maßeinheit |
|---|---|---|---|
| ICMP-Flood | Schicht 3 — Netzwerk | Bandbreite | Gbps |
| UDP-Flood | Schicht 3 — Netzwerk | Bandbreite / CPU | Gbps / PPS |
| DNS/NTP-Amplifikation | Schicht 3 — Netzwerk | Bandbreite | Gbps |
| SYN-Flood | Schicht 4 — Transport | Verbindungstabellen | PPS |
| ACK-Flood | Schicht 4 — Transport |