Hier erfahren Sie, wie Cloudflare vor DDoS-Angriffen schützt und wie Sie erkennen können, ob Ihre Website angegriffen wird.
Überblick
Ein Distributed-Denial-of-Service-Angriff (DDoS) zielt darauf ab, einen Onlinedienst für seine Endbenutzer unerreichbar zu machen. Für alle Tariftypen bietet Cloudflare eine zeitlich unbeschränkte Abwehr von DDoS-Angriffen auf den Ebenen 3, 4 und 7 an. Cloudflare rechnet nicht nach Angriffsumfang ab und hat keine Obergrenze für die Angriffsgröße, -art oder -dauer.
Das Netzwerk von Cloudflare ist so aufgebaut, dass große DDoS-Angriffe automatisch überwacht und bekämpft werden. Durch Zwischenspeichern Ihrer Inhalte bei Cloudflare schützen Sie außerdem Ihre Website gegen kleine DDoS-Angriffe. Für Ressourcen, die nicht zwischengespeichert werden, sind zusätzliche manuelle Reaktionen auf DDoS-Angriffe nötig. Darüber hinaus hilft Cloudflare bei der Abwehr kleinerer DDoS-Angriffe für Domains in jedem Tarif, wenn:
- die HTTP-5XX-Fehlerrate bei über 150 Fehlern pro Sekunde liegt und
- die aktuelle Fehlerrate mindestens fünfmal so hoch ist wie die durchschnittliche Fehlerrate der letzten 7 Tage.
Alle HTTP-Fehler im Bereich 5XX (Internal Server Error) werden bei der Berechnung der Fehlerrate berücksichtigt, mit Ausnahme der Fehler 500, 503 und 530. Der Fehler 530 ist davon ausgenommen, da er zusammen mit einem 1xxx-Fehler zurückgegeben wird. Fehler 530 bedeutet nicht, dass der Ursprung aufgrund einer HTTP-Flood ausfällt, dies ist typischerweise eine DNS-Fehlkonfiguration.
Fälle der Abwehr von HTTP-Floods werden im Analytics-Dashboard der Firewall als HTTP-DDoS-Ereignisse angezeigt.Diese Ereignisse sind auch über Cloudflare-Protokolle verfügbar.
Bei der DDoS-Abwehr basierend auf der HTTP-Fehlerrate können unsere Kunden derzeit Folgendes nicht tun:
- die Abwehr deaktivieren,
- die Schwellenwerte für die Abwehr ändern oder
- bestimmte HTTP-Fehlercodes ausschließen.
Weitere Informationen zu berühmten DDoS-Angriffen und DDoS finden Sie im Cloudflare-Lernzentrum. Im Abschnitt zu verwandten Ressourcen am Ende dieses Artikels finden Sie DDoS-Fallstudien.
Feststellen, ob Sie einem DDoS-Angriff ausgesetzt sind
Häufige Anzeichen dafür, dass Sie einem DDoS-Angriff ausgesetzt sind, sind:
- Ihre Website ist offline oder reagiert nur langsam auf Anfragen.
- Es gibt unerwartete Spitzen in den Diagrammen für Anfragen über Cloudflare oder Bandbreite in Ihrer Cloudflare-Analytics-App.
- Es gibt seltsame Anfragen in den Protokollen Ihres Ursprungswebservers, die nicht dem normalen Besucherverhalten entsprechen.
Greift Cloudflare mich an?
Es gibt zwei häufige Szenarien, bei denen es fälschlicherweise so wirkt, als sei Cloudflare für einen Angriff auf Ihre Website verantwortlich:
- Wenn Sie die ursprünglichen Besucher-IP-Adressen nicht wiederherstellen, erscheinen in Ihren Server-Protokollen Cloudflare-IP-Adressen für alle weitergeleiteten Anfragen.
- Der Angreifer fälscht die IPs von Cloudflare. Cloudflare sendet Traffic nur über ein paar bestimmte Ports an Ihren Ursprungswebserver, es sei denn, Sie verwenden Cloudflare Spectrum.
Da Cloudflare ein Reverse-Proxy ist, beobachtet Ihr Hosting-Provider im Idealfall den Angriffs-Traffic, der sich von Cloudflare-IP-Adressen aus verbindet. Wenn Sie dagegen Verbindungen von IP-Adressen sehen, die nicht zu Cloudflare gehören, erfolgt der Angriff direkt auf Ihren Ursprungswebserver. Cloudflare kann keine direkten Angriffe auf die IP-Adresse Ihres Ursprungsservers stoppen, da dieser Traffic das Netzwerk von Cloudflare umgeht.
Verwandte Ressourcen
- Reaktion auf DDoS-Angriffe
- Bewährte Vorgehensweisen: DDoS-Vorbeugemaßnahmen
- Einsatz von Cloudflare-Protokollen zur Untersuchung von DDoS-Traffic (nur Enterprise)
- Was ist ein DDoS-Angriff?
- Wie läuft ein DNS-Amplification-Angriff ab?
Fallstudien:
- Wie man einen DDoS mit 65 Gbit/s startet und wie man ihn stoppt
- Ein Waffenstillstand beendet keinen Cyberkrieg
- Überlegungen zur Reflection-Angriffen
- Ein brutal einfaches DDoS-Protokoll (SSDP) erzeugt einen DDoS mit 100 Gbit/s
- Memcrashed – Große Amplification-Angriffe von UDP-Port 11211
- Die wahre Ursache für große DDoS: IP-Spoofing