# DDoS Mitigation: Strategien gegen die digitale Überflutung
TL;DR / Management Summary Ein DDoS (Distributed Denial of Service) Angriff zielt darauf ab, Ihre Infrastruktur durch eine Lawine von Anfragen lahmzulegen. Wir unterscheiden zwischen volumetrischen Angriffen (flutet die Leitung), Protocol Attacks (flutet die Firewall-Tabelle) und Application Layer Attacks (flutet den Webserver). Ein Senior Admin nutzt Rate Limiting (Artikel 590) zur lokalen Schadensbegrenzung, weiß aber, dass gegen massive Angriffe nur Cloud-Scrubbing (z.B. Cloudflare) oder Anycast-Netzwerke (Artikel 576) helfen.
# 1. Die drei Arten des DDoS
Den Feind verstehen.
- Volumetrisch (Layer 3/4): Tonnenweise UDP/ICMP-Müll.
- Ziel: Sättigung der Internetleitung.
- Protocol-based: SYN-Floods, Fraggle-Attacks.
- Ziel: Die State-Tabelle der Firewall (Artikel 554) zum Überlaufen bringen.
- Application Layer (Layer 7): Millionenfacher Aufruf der Suche auf Ihrer Webseite.
- Ziel: Den Webserver oder die SQL-Datenbank in die Knie zwingen.
# 2. Lokale Abwehr (OPNsense/Firewall)
Den ‘Noise’ filtern.
Auf Ihrem Gateway können Sie kleinere Angriffe selbst abfedern:
- SYN-Proxy: Schließt den TCP-Handshake erst ab, bevor das Backend belastet wird.
- Rate Limiting: Begrenzen Sie die Anzahl der neuen Verbindungen pro IP pro Sekunde.
# Beispiel OPNsense Regel
Action: PASS
Source: Any
Advanced -> Max New Connections / Second: 10# 3. Deep Dive: Cloud-Scrubbing (Der Schutzschild)
Filtern bevor es wehtut.
Wenn Ihre Internetleitung 1 Gbit/s hat, aber ein 10 Gbit/s Angriff kommt, nützt die beste lokale Firewall nichts.
- Lösung: Schalten Sie einen Dienst wie Cloudflare, Akamai oder AWS Shield davor.
- Technik: Der Traffic fließt erst durch das globale Netz des Anbieters. Nur die “sauberen” Pakete werden an Ihr RZ weitergeleitet.
- Vorteil: Die Last wird weltweit auf tausende Server verteilt.
# 4. Day-2 Operations: BGP Blackholing
Den Arm opfern, um das Leben zu retten.
Wenn ein einzelner Server unter massivem DDoS steht und dadurch die gesamte Firma offline ist:
- Aktion: RTBH (Remote Triggered Black Hole).
- Vorgang: Sie teilen Ihrem ISP via BGP mit: “Leite allen Traffic für IP 1.2.3.4 sofort ins Leere (Null0)”.
- Ergebnis: Der angegriffene Server ist weg, aber die restlichen 100 Server sind wieder erreichbar.
# 5. Troubleshooting & “War Stories”
Wenn der Sturm tobt.
# Top 3 Fehlerbilder
-
Symptom: Die Firewall-CPU ist bei 100%, obwohl die Leitung nicht voll ist.
- Ursache: Ein Layer-7 Angriff auf den Web-Proxy oder zu viele aktive IDS-Regeln (Suricata).
- Lösung: IDS temporär deaktivieren und Rate-Limiting am Loadbalancer (Artikel 562) verschärfen.
-
Symptom: “False Positive” Blockaden.
- Ursache: Viele User nutzen den gleichen Firmen-Proxy (z.B. aus einem Hotel) und werden als “Angreifer” fehlinterpretiert.
- Lösung: Bekannte Partner-IPs im Whitelist-Alias (Artikel 555) pflegen.
-
Symptom: DNS-Dienst ist nicht erreichbar.
- Lösung: DNS-Anycast (Artikel 576) nutzen oder DNS-Anfragen an Cloud-Provider delegieren.
# “War Story”: Der “Log-DDoS”
Ein Unternehmen wurde Opfer eines mittelstarken DDoS-Angriffs. Die Firewall hielt stand und blockierte alle Pakete. Das Problem: Dennoch war das RZ nach 1 Stunde offline. Die Ursache: Der Admin hatte “Log all drops” aktiv. Die Firewall schrieb pro Sekunde 50.000 Log-Zeilen auf die lokale SSD. Die I/O-Last war so hoch, dass der Cluster-Heartbeat (Artikel 693) verloren ging und alle Hosts rebooteten. Lehre: Deaktivieren Sie das Logging für DDoS-Blockregeln. Die Statistik im Dashboard reicht aus – die Disk darf niemals zum Flaschenhals bei einem Angriff werden.
# 6. Monitoring & Reporting
Sturmwarnung.
# Traffic Anomalie Erkennung
Nutzen Sie den Metric Server (Artikel 697), um nach untypischen Mustern zu suchen.
- KPI:
packets_per_second(PPS). Ein gesunder Fileserver hat niedrige PPS, ein Angreifer extrem hohe.
# 7. Fazit & Empfehlung
Gegen DDoS hilft nur Bandbreite und Intelligenz.
- Empfehlung: Nutzen Sie einen Cloud-Proxy (Cloudflare) für Ihre öffentlichen Webseiten.
- Wichtig: Sorgen Sie für eine Out-of-Band Verwaltung Ihres Clusters (z.B. Management via separates VPN/LTE), damit Sie auch während eines Angriffs noch auf die Firewall zugreifen können.
# Anhang: Cheatsheet (Abwehr-Maßnahmen)
| Angriffstyp | Maßnahme (Lokal) | Maßnahme (Global) |
|---|---|---|
| SYN Flood | SYN-Proxy | Cloud-WAF |
| UDP Flood | Rate Limiting | ISP FlowSpec |
| HTTP Flood | Captcha / JS-Challenge | Anycast CDN |
| DNS Flood | RRL (Response Rate Limit) | Cloud DNS |