DDoS Angriff erkennen & abwehren

/ Cloudflare, Plesk, WordPress / 9 min Lesezeit / Kommentar verfassen
DDoS Angriff erkennen & abwehren

Herzlich willkommen zu meinem Ratgeber rund um das Thema DDoS Angriff erkennen und abwehren. In einer Welt, die immer stärker vernetzt ist, wird die Bedrohung durch Distributed Denial of Service (DDoS) Angriffe zu einer zunehmenden Realität. Vielleicht hast du schon einmal von solchen Angriffen gehört oder sogar selbst Erfahrungen damit gemacht. Keine Sorge, du bist nicht allein! Diese Art von Cyber-Angriff wird täglich millionenfach ausgeführt und es sind mindestens genauso viele Websites davon betroffen.

In diesem Ratgeber werden wir gemeinsam einen Blick darauf werfen, wie DDoS-Angriffe funktionieren, welche Anzeichen darauf hindeuten können, dass deine Website bzw. Server betroffen ist, und vor allem, welche Schritte du ergreifen kannst, um dich effektiv gegen diese Bedrohungen zu verteidigen. Lass uns gemeinsam herausfinden, wie du deine digitale Präsenz schützen kannst – sei es für deinen persönlichen Blog, dein Unternehmen oder aus reinem Interesse an der Cybersecurity. Bist du bereit? Dann legen wir los!

DoS Angriff Erklärung

Du hast bestimmt schon einmal von DDoS-Angriffen gehört, aber was verbirgt sich eigentlich hinter einem DoS Angriff? Nun, „DoS“ steht für „Denial of Service“. Stell es dir bildlich einfach wie einen überfüllten Eingang zu einem Fußballstadion vor – wenn zu viele Menschen gleichzeitig versuchen, durch die Tore zu gelangen, wird der Zugang blockiert, und niemand kann mehr hinein.

Ähnlich funktioniert eine DoS-Attacke im digitalen Sinne. Ein Angreifer überflutet dein Netzwerk oder deine Website mit so vielen Anfragen, dass die Server-Ressourcen erschöpft sind und normale Nutzer nicht mehr darauf zugreifen können (Die Tür zum Stadion wird also bildlich zu klein).

Das Ziel ist es, deine Online-Präsenz lahmzulegen und den Service für andere zu verweigern. Häufig bekommen reguläre Besucher dann Server Fehlermeldungen angezeigt. Falls du aber Cache-Systeme und CDNs verwendest, haben DoS-Attacken meist nur geringe Auswirkungen auf die Erreichbarkeit. Eher wird die Ladezeit für Besucher erheblich verlängert oder aber ressourcenintensive Backends und Admin-Bereiche sind nicht mehr performant.

DDoS und DoS Unterschied

Der wesentliche Unterschied zwischen DoS (Denial of Service) und DDoS (Distributed Denial of Service) liegt in der Art und Weise, wie die Angriffe durchgeführt werden. Bei einer herkömmlichen DoS-Attacke wird ein einzelner Angreifer genutzt, um ein System oder eine Website mit einer überwältigenden Menge von Anfragen zu überfluten. Dies kann dazu führen, dass die Ressourcen erschöpft werden und der Service für normale Nutzer unzugänglich wird.

Im Gegensatz dazu setzt ein DDoS-Angriff auf ein Netzwerk von vielen verteilten Angreifern, die oft über verschiedene Teile der Welt verstreut sind. Jeder einzelne Angreifer steuert eine Vielzahl von Computern oder anderen vernetzten Geräten, um koordiniert Anfragen zu senden. Diese verteilte Herangehensweise macht DDoS-Angriffe oft schwieriger zu erkennen und zu stoppen, da sie aus verschiedenen Quellen stammen und die Intensität des Angriffs erheblich verstärken können.

Wenn du also merkst, dass deine Website plötzlich extrem langsam lädt oder aber das Backend nicht mehr so performant wie gewöhnlich ist, dann ist die Wahrscheinlichkeit einer DoS Attacke hoch. Doch keine Sorge! In den folgenden Abschnitten erkläre ich dir, wie du DDoS Angriffe erkennen und einfach unterbinden kannst.

DDoS und DoS Unterschied Infografik - Affiltech.com

DDoS Attacke, was tun?

Zunächst solltest du einmal die Ruhe bewahren. Eine DoS- oder DDoS-Attacke beschädigt weder deine Daten, noch kann sie irgendwelchen Schaden serverseitig anrichten. Sie überfüllt einfach deinen Server mit Anfragen und je nach Ressourcen (CPU und RAM) kann dieser einfach nicht mehr darauf antworten. Um aktiv gegen einen DDoS Angriff vorzugehen, ist folgender Ablauf einzuhalten:

  1. Problem erkennen
  2. DoS Angriff identifizieren
  3. DoS Angriff abwehren

Wie du die einzelnen Schritte abarbeitest, erkläre ich dir nun ausführlich.

DDoS Angriff erkennen und identifizieren

Wie erkennt man einen DDoS Angriff? In der Regel ist das ganz einfach: Deine Website ist nicht mehr erreichbar oder lädt extrem lange. Auch Arbeiten im Backend (z.B. WordPress Editor oder Admin-Bereich eines Online-Shops) gehen nur sehr zäh über die Bühne. Teils sind Ladezeiten von 20-30 Sekunden keine Seltenheit und ein starker Indikator für einen Angriff auf deinen Server / Website.

Du kannst dabei ganz einfach mit den DevTools deines Browsers die Server Response Zeit untersuchen. Sollte diese sehr hoch liegen, dann ist der Fall meistens klar: Es handelt sich um eine DDoS-Attacke.

Mit Browser DevTools die Server Response Time prüfen:

  1. Öffne deine Website.
  2. Klicke mit der rechten Maustaste auf „Untersuchen“.
  3. Navigiere zu “Netwerk”.
  4. Lade deine Seite über den Server Reload-Button erneut.
  5. Nun siehst du eine Tabelle mit den Lade- und Wartezeiten.

Normalerweise sollte die Zeit zur Serverantwort im Millisekunden-Bereich liegen. Wenn die Antwortzeit einige Sekunden beträgt, dann ist generell etwas faul!

Server Response Time Server
Eine hohe Server Response Time kann ein deutliches Anzeichen für eine DoS-Attacke sein. Mit den Browser DevTools kannst du schnell und einfach die Serverantwortzeit ermitteln.

DDoS Angriff identifizieren

Wenn du nun festgestellt hast, dass du höchstwahrscheinlich Opfer einer DoS Attacke bist, geht es darum den Angriff spezifisch zu identifizieren. Anbei erkläre ich dir die notwendigen Schritte zur Identifizierung eines DDoS Angriffs anhand von Plesk und Cloudflare.

Hinweis: Auch das C-Panel bietet entsprechende Funktionen – der Ablauf dürfte relativ ähnlich sein. Falls du noch nicht Cloudflare nutzt, dann rate ich dir in jedem Falle, spätestens jetzt darauf umzustellen. Selbst der kostenlose Plan ist besser als Nichts und eine unglaublich große Hilfe bei der Identifizierung von DDoS Angriffen.

  1. Öffne dein Plesk-Panel.
  2. Navigiere zum Punkt „Monitoring„.
  3. Im Falle eines DDoS Angriffs sind deine Ressourcen in 90% der Fälle vollständig ausgelastet oder extrem erhöht.
  4. Navigiere nun zur „Process List„.
  5. Hier siehst du nun, welche Subscription die meisten Ressourcen verbraucht. Anschließend musst du diese auf eine Website eingrenzen, sofern du mehrere auf deinem Server laufen lässt.
  6. Navigiere nun zu „Tools & Settings„.
  7. Öffne hier die MySQL Process List
  8. Aktiviere Auto Refresh
  9. Nun kannst du ganz klar erkennen, welche Datenbank am meisten geöffnet und aufgerufen wird.
Plesk Monitoring Server Attacke identifizieren
Hier deutlich zu sehen: Nach der Eliminierung des DoS Angriffs fallen die Auslastungswerte wieder in den Normbereich.
Server Attacke identifizieren - Plesk Process List Analyse
Eine Hohe CPU-Auslastung und viele Subscriptionaufrufe sind typische Anzeichen für eine DoS / DDoS Attacke.
Server Attacke identifizieren - SQL Database Plesk
In der MySQL Process List kannst du erkennen, welche Datenbank am meisten frequentiert ist. Diese Website wird demzufolge aktuell angegriffen.

Im Prinzip hast du nun die (WordPress)-Seite identifiziert, welche deinen Server verlangsamt und Ziel einer DDoS-Attacke ist. Anschließend geht es nur noch darum, den Angriff mit wenigen Klicks zu unterbinden und deine Server-Ressourcen fallen im Handumdrehen wieder in den Normbereich!

DDoS Angriff abwehren

Nun kommen wir zum wichtigsten Punkt: Die Abwehr von DDoS und DoS Angriffen. Die Vorgehensweise ist bei beiden Angriffsvarianten im Prinzip gleich. Anbei erkläre ich dir, wie du mit Cloudflare den DDoS Angriff abwehren kannst.

Hinweis: Falls deine Seite noch nicht über Cloudflare läuft, ist jetzt der Zeitpunkt gekommen, um umzustellen. Hier findest du eine einfache Anleitung, wie du Cloudflare mit deiner Website verknüpfen kannst.

  1. Öffne das Cloudflare Panel.
  2. Wähle deine Website aus.
  3. Aktiviere den “Under Attack Mode”.
  4. Navigiere nun zum Punkt „Security“ in der linken Seitenleiste.
  5. Öffne den Reiter „Events„.
  6. Nun siehst du alle IPs, die auf deine Seite zugreifen. Im Falle eines DoS bzw. DDoS-Angriffs sind hier häufig dieselben IPs gelistet. Etliche stammen unter Umständen auch aus Ländern, die eigentlich nicht zu deiner Kundschaft oder Leserschaft gehören.
  7. Der Under Attack Mode blockt nun alle Angriffe aus und die Server-Ressourcen sollten in wenigen Sekunden wieder auf den Normalwert zurückfallen.
Cloudflare Under Attack Mode
Aktivieren zunächst den Under Attack Mode.
Cloudflare Server Attacke identifizieren
Anschließend kannst du die Events auswerten. DDoS-Attacken sind hier deutlich zu erkennen.

Glückwunsch, du hast den DoS Angriff erfolgreich unterbunden!

Website gegen DoS Attacke weiter absichern

Aufgrund der Aktivierung des „Under Attack Modes“ bekommen ALLE Besucher deiner Website einen Captcha oder ein Rätsel angezeigt, bevor sie auf deine Website zugreifen können. Dies mag zwar temporär vollkommen in Ordnung sein, auf lange Sicht stört dies aber die Nutzererfahrung. Deshalb solltest du auf jeden folgende manuelle Schritte unternehmen, um deine Webpräsenz auch ohne den Under Attack Mode gegen DDoS Angriffe einigermaßen abzusichern.

Cloudflare Bot Fight Mode aktivieren

Für jede Webseite, die du betreibst, solltest du den “Bot Fight Mode” aktivieren. Diesen findest du unter Security → Bots. Der deutlich effektivere Super Bot Fight Mode steht leider nur zahlenden Kunden zur Verfügung.

Cloudflare Security Level auf High setzen

Generell ist es ratsam, das Cloudflare Security Level auf Seitenebene auf “Medium” oder “High” zu stellen. Navigiere zu Security → Settings und stelle hier im Dropdown das gewünschte Level ein. Beachte aber, dass diese Einstellung dann den “Under Attack Mode” wieder deaktiviert.

Bekannte Angreifer IP-Adressen ausblocken

Anhand des Under Attack Modes wurde unter Security → Events eine Liste aller Zugriffe aufgezeichnet (siehe Bild oben). Ermittle hier die unnatürlichen IP-Zugriffe und blocke diese manuell aus. Das manuelle Blocken von IPs kannst du anhand einer Cloudflare Regel oder mit deiner serverseitigen Firewall übernehmen.

Um IP-Adressen von Angreifern via Cloudflare zu blocken, gehe wie folgt vor:

  • Klicke auf „WAF“ unter dem Reiter Security.
  • Klicke auf „Create Rule“ (5 Rules hat jeder Free-User frei).
  • Benenne die Regel, damit du diese zuordnen kannst.
  • Bei Field wähle IP Source Address.
  • Operator ist Equals.
  • Value ist die IP-Adresse, die du sperren möchtest.
  • Du kannst mit oder “Or” Funktionen mehrere IP-Adressen mit einer Regel blocken.
  • Wähle die Take Action aus.
  • Je nachdem, wie sicher du dir bist, dass es sich um einen Angreifer handelt, kannst du Block (blockiert in jedem Fall), Managed Challenge (Rätsel muss gelöst werden) oder JS Challenge (automatisch Browserprüfung) auswählen.
  • Klicke auf Deploy.

Von nun an werden alle IPs gemäß deiner Regel blockiert oder einer Prüfung unterzogen. DDoS Attacken sind somit von diesen Adressen aus nicht mehr möglich! Anschließend kannst du den Under Attack Mode wieder deaktivieren, da du nun die Angreifer manuell ausgesperrt hast.

Cloudflare Rule DoS Block
Anbei siehst du, wie du eine Cloudflare Firewall Regel gegen DoS-Angriffe anlegen kannst.

Überprüfung, ob alles wieder OK ist

Wenn du die Attacke blockst, dann sollten deine Server-Ressourcen beinahe umgehend wieder auf den Normalwert sinken. Außerdem siehst du in der MySQL Process List und der Plesk Process List deutlich weniger aktive Prozesse. Für Nutzer und Admins sollten alle Funktionen wieder mit der gewohnten Geschwindigkeit zur Verfügung stehen.

Probleme bei der Abwehr von DDoS Angriffen

Die Abwehr einer einfachen DoS Attacke ist in der Regel unproblematisch, da der Angreifer nur eine IP-Adresse verwendet. Leider nutzen heutzutage nur noch Amateure diese Art von Angriffen. DDoS Attacken abzuwehren ist in der Regel deutlich schwerer, da hier der “Spam-Traffic” von vielen verschiedenen Server-IPs rund um den Erdball kommt. Vor allem die manuelle Unterbindung eines DDoS Angriffs ist schier unmöglich.

Wenn du keinen Security-Dienst wie Cloudflare & Co. verwendest, kann es ein Kampf gegen Windmühlen sein, DDoS-Angriffe dauerhaft und effizient abzuwehren.

Leider ist aber auch nicht Cloudflare das Mittel gegen alle Arten von Attacken. Vor allem der kostenlose Free-Plan ist eher nicht wirklich berauschend, um automatisch Angriffe aller Art abzuwehren. Cloudflare möchte hier natürlich, dass du auf einen Paid-Plan upgradest, welcher deutlich effizienteren Schutz gegen DDoS-Attacken bietet und diese fast vollständig automatisch identifizieren und abwehren kann.

Mit der kostenlosen Cloudflare Mitgliedschaft musst du bei DoS Attacken in der Regel so gut wie immer manuell eingreifen, kannst diese aber dank Cloudflare trotzdem viel schneller identifizieren und auch besser unterbinden.

Ich hoffe, dass dir dieser Ratgeber rund um die Identifizierung und Abwehr von DDoS-Attacken weiterhelfen kann. Wie du siehst, tust du dir mit Cloudflare einen großen Gefallen und gestaltest den gesamten Prozess sehr einfach. Ich rate daher in keinem Fall auf das Cloudflare DNS, CDN und die Firewall zu verzichten.

Hast du noch Fragen zum Thema oder benötigst du Hilfe bei der Abwehr von DDoS Angriffen? Hinterlasse einen Kommentar oder sende mir eine Nachricht über das Kontaktformular!

Insgesamt 32 Besucher, 2 heute

Das könnte dich auch interessieren

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen