Layer-3-, Layer-4- und Layer-7-Angriffe
Layer-3-Angriffe zielen auf die Netzwerkschicht (IP, ICMP) – Beispiele sind ICMP-Flood und IP-Fragmentierungsangriffe. Layer-4-Angriffe zielen auf die Transportschicht (TCP, UDP) – Beispiele sind SYN-Flood, UDP-Amplification und DNS-Amplification. Layer-7-Angriffe zielen auf die Anwendungsschicht (HTTP, HTTPS) – Beispiele sind HTTP-GET/POST-Floods und Slowloris. Jede Schicht erfordert andere Mitigation.
Volumetrische Angriffe auf den Schichten 3 und 4 versuchen, die Netzleitung selbst zu sättigen. Die größten öffentlich bekannten Angriffe lagen im Multi-Terabit-pro-Sekunde-Bereich – Cloudflare berichtete im Mai 2025 von der Abwehr eines 7,3-Tbps-Angriffs, AWS Shield bereits im Februar 2020 von einem 2,3-Tbps-Angriff. Diese Angriffe funktionieren, weil Amplification-Protokolle (DNS, NTP, memcached, CLDAP) eine kleine gefälschte Anfrage in eine viel größere Antwort an das Opfer verwandeln – Verstärkungsfaktoren von 50× bei DNS, 200× bei NTP und 50.000× bei memcached sind dokumentiert. Protokollangriffe auf Layer 4 – SYN-Floods, ACK-Floods, fragmentierte Pakete – erschöpfen den Connection-Tracking-Zustand auf Firewalls und Load-Balancern, statt Bandbreite zu sättigen. Layer-7-Angriffe sind in Bytes am kleinsten, aber am schwersten zu filtern: Eine HTTP-Flood aus einem 100.000-Knoten-Botnet sieht bitgenau wie echter Nutzerverkehr aus, und nur applikationsbewusste Logik kann sie unterscheiden.
BGP-Blackhole und Remote-Triggered Black Hole (RTBH)
BGP-Blackholing ist die brutale, aber wirksame Notfallmitigation: Der Netzbetreiber kündigt eine /32-Route für die angegriffene IP in eine spezielle „Blackhole“-BGP-Community an und weist alle Upstream-Peers an, Verkehr zu dieser IP komplett zu verwerfen. Das Ziel bleibt offline, der Rest des Netzes jedoch verfügbar. RTBH ist in RFC 5635 standardisiert und wird von jedem Tier-1-Carrier unterstützt.
RTBH ist in RFC 5635 (August 2009) dokumentiert und arbeitet, indem eine Route mit einem Community-Attribut markiert wird, das Upstream-Peers als „Verwirf alles für dieses Präfix“ interpretieren. Die Mitigation ist total – die geschützte IP wird aus dem gesamten Internet unerreichbar, auch für legitime Nutzer – schützt aber den Rest der Kundenflotte vor Kollateralschäden. Aufgrund der Plumpheit ist RTBH angemessen, wenn eine einzelne IP mit hunderten Gbps angegriffen wird und ein größerer Ausfall teurer wäre, als diese eine IP online zu halten. Viele günstige „DDoS-geschützte“ VPS-Tarife meinen genau das: Der Anbieter null-routet Ihre IP unter Beschuss, um den Rest seines Netzes zu schützen. Definitionsgemäß ist das eine Denial-of-Service-Mitigation – nur ist die geschützte Ressource das Netz des Anbieters, nicht Ihres.
Scrubbing-Center und Traffic-Diversion
Ein Scrubbing-Center ist ein gehärteter Netzstandort, an dem Angriffsverkehr herausgefiltert und sauberer Verkehr zum Ursprungssystem weitergeleitet wird. Der Verkehr wird dorthin per BGP-Ankündigung (always-on oder on-demand) oder DNS-Steuerung umgeleitet. Die Scrubbing-Kapazität pro Tbps ist die zentrale Kennzahl – die größten Anbieter betreiben über 200 Tbps aggregierte Scrubbing-Kapazität, spezialisierte Hosting-Anbieter werben typisch mit 1–10 Tbps.
Scrubbing-Center betreiben spezialisierte Appliances – Arbor TMS, Radware DefensePro, A10 Thunder, NSFOCUS ADS oder großskalige eigene Linux-/DPDK-Pipelines – die jedes Paket inspizieren, gut- oder bösartige Muster klassifizieren und nur den sauberen Anteil zum Ursprungssystem weiterleiten. Die Umleitung erfolgt meist via BGP: Während eines Angriffs wird das Kundenpräfix aus dem Anycast-Netz des Scrubbing-Anbieters angekündigt, sodass aller Verkehr zum nächstgelegenen Scrubbing-Standort gezogen wird. Nach der Säuberung wird der Verkehr per Tunnel (GRE, IPSec, dedizierter Cross-Connect oder direktes Peering) zurück zum Ursprungssystem geleitet. Die Scrubbing-Latenz beträgt typischerweise 1–3 ms innerhalb der Region, plus zusätzlichen Pfad durch die Umleitung. Always-on-Scrubbing hält die Umleitung permanent und beseitigt die Aktivierungszeit zugunsten einer ständigen Latenzsteuer. On-Demand-Scrubbing leitet nur bei erkannten Angriffen um – günstiger, aber mit einem Aktivierungsfenster von 30–180 Sekunden, in dem der Angriff durchschlägt.
Always-on vs. On-Demand-Mitigation
Always-on-Mitigation leitet allen Verkehr 24/7 durch die Scrubbing-Schicht – keine Aktivierungsverzögerung, aber jedes Paket zahlt eine kleine Latenzsteuer (typisch 1–5 ms). On-Demand-Mitigation aktiviert sich nur bei erkannten Angriffen, was die Steady-State-Latenz beseitigt, aber das Ursprungssystem im Aktivierungsfenster (typisch 30–180 Sekunden) freilegt. Hybride Setups kombinieren beides: Always-on für HTTP/HTTPS, On-Demand für reinen IP-Verkehr.
Die Wahl zwischen Always-on und On-Demand ist ein Abwägen zwischen Steady-State-Latenz und Verwundbarkeit im Aktivierungsfenster. Latenzsensitive Dienste – Multiplayer-Game-Server, Low-Latency-Trading, Sprache/Video – wählen meist On-Demand und nehmen die Aktivierungslücke in Kauf, weil jede zusätzliche Millisekunde im Steady-State teuer ist. Öffentlich erreichbare Webdienste, APIs und SaaS wählen meist Always-on oder eine vollständig proxierte CDN-ähnliche Topologie, in der die Ursprungs-IP gar nicht öffentlich bekannt ist – das eliminiert das Angriffsfenster vollständig. Moderne Cloud-Edge-Anbieter (Cloudflare, Fastly, AWS Shield Advanced, Google Cloud Armor) setzen standardmäßig auf Always-on, weil ihr Netz Verkehr ohnehin an hunderten Edge-Standorten terminiert und der „Umweg“ praktisch null ist.
Rate-Limiting, WAF und Verteidigung auf Anwendungsebene
Rate-Limiting begrenzt Anfragen pro Quell-IP, Sitzung oder URL und nimmt Layer-7-Floods die Wirkung, ohne legitimen Verkehr zu beeinträchtigen. Eine Web Application Firewall (WAF) prüft HTTP-Anfragen anhand von Regeln – OWASP-Top-10-Schutz, individuelle Rate-Regeln, Geo-Blocking, JS-Challenges und CAPTCHA. Zusammen bewältigen sie Layer-7-Angriffe, denen volumetrisches Scrubbing allein nicht beikommt.
Volumetrisches Scrubbing endet an der IP-und-Port-Grenze. Um eine HTTP-Flood zu stoppen, die wie echter Chrome-Verkehr aussieht, brauchen Sie Regeln auf URL-, Header-, Cookie- und Verhaltensebene. Rate-Limiting ist die einfachste und effektivste Layer-7-Maßnahme: Begrenzen Sie eine einzelne IP zum Beispiel auf 60 Anfragen pro Minute auf /login und verwerfen Sie den Rest. Eine WAF geht weiter mit inhaltsbewussten Regeln: Anfragen mit SQL-Injection-Mustern, ungewöhnlichen User-Agents, fehlenden Referrern, geografischer Herkunft außerhalb Ihres Servicegebiets oder weit außerhalb des legitimen Bereichs liegender Payload-Größen blockieren. Moderne WAFs (AWS WAF, Cloudflare WAF, Fastly Next-Gen WAF, ModSecurity mit OWASP Core Rule Set) setzen zusätzlich JavaScript-Challenges, hCaptcha und Bot-Fingerprint-Heuristiken ein, die die Trefferquote eines Botnets um über 99 % senken, ohne echte Browser zu stören.
Was Hosting-Anbieter typischerweise enthalten oder zusätzlich verrechnen
Kostenlose oder enthaltene Stufen decken meist Layer-3/4-volumetrische Angriffe bis zu einer festen Gigabit-pro-Sekunde-Obergrenze (oft 10–100 Gbps) mit grundlegendem Rate-Limiting und BGP-Blackhole ab. Bezahl-Add-ons enthalten typischerweise Always-on-Scrubbing, WAF, Layer-7-Mitigation, individuelle Regelerstellung und SLA-gestützte Mitigation-Garantien. Lesen Sie den Vertrag – „unbegrenzter DDoS-Schutz“ heißt oft nur „wir null-routen Sie über X Gbps“.
Das DDoS-Marketing von Hosting-Anbietern variiert stark. Wirklich nützlicher Schutz beinhaltet drei Dinge: (1) eine klar genannte Kapazität in Gbps oder Tbps, (2) Abdeckung von Layer 3 bis 7 inklusive HTTP-Flood-Mitigation und (3) ein schriftliches SLA mit Mitigation-Startzeit und Verkehrsverlust-Zusagen. Weniger nützlicher Schutz ist ein einzelnes „DDoS-geschützt“-Logo ohne Kapazitätsangabe – meist bedeutet das nur BGP-Blackhole: Ihre IP wird unter Beschuss null-geroutet und Sie sind offline, bis der Angriff endet. Bei der Bewertung sollten Sie fragen: Wie hoch ist die ausgewiesene Kapazität pro IP? Always-on oder On-Demand? Deckt es Layer 7 ab? Wie schnell aktiviert sich die Mitigation laut SLA? Was passiert, wenn der Angriff die Stufenobergrenze überschreitet? Die Antworten zeigen, ob Sie echten Schutz oder nur ein Marketing-Etikett kaufen.