Hier erfahren Sie, wie Cloudflare vor DDoS-Angriffen schützt und wie Sie erkennen können, ob Ihre Website angegriffen wird.

Überblick

Ein Distributed-Denial-of-Service-Angriff (DDoS) zielt darauf ab, einen Onlinedienst für seine Endbenutzer unerreichbar zu machen. Für alle Tariftypen bietet Cloudflare eine zeitlich unbeschränkte Abwehr von DDoS-Angriffen auf den Ebenen 3, 4 und 7 an. Cloudflare rechnet nicht nach Angriffsumfang ab und hat keine Obergrenze für die Angriffsgröße, -art oder -dauer.

Das Netzwerk von Cloudflare ist so aufgebaut, dass große DDoS-Angriffe automatisch überwacht und bekämpft werden. Durch das Caching Ihrer Inhalte bei Cloudflare schützen Sie außerdem Ihre Website gegen kleine DDoS-Angriffe. Für Ressourcen, die nicht zwischengespeichert werden, sind zusätzliche manuelle Reaktionen auf DDoS-Angriffe nötig. Darüber hinaus hilft Cloudflare bei der Abwehr kleinerer DDoS-Angriffe für Domains in jedem Tarif, wenn:

• die HTTP-52X-Fehlerrate bei über 150 Fehlern pro Sekunde liegt und 
• die aktuelle Fehlerrate mindestens fünfmal so hoch ist wie die durchschnittliche Fehlerrate der letzten 7 Tage (nur für Zonen in einem Pro-Plan oder höher). 

Alle HTTP-Fehler im Bereich von 52X (Interner Server-Fehler) werden bei der Berechnung der Fehlerrate berücksichtigt.

Fälle der Abwehr von HTTP-DDoS-Angriffen werden im Analytics-Dashboard der Firewall als HTTP-DDoS-Ereignisse angezeigt.Diese Ereignisse sind auch über Cloudflare-Protokolle verfügbar.

Derzeit können Kunden bei DDoS-Abwehrmaßnahmen, die auf der HTTP-Fehlerrate basieren, bestimmte HTTP-Fehlercodes nicht ausschließen.

Weitere Informationen zu berühmten DDoS-Angriffen und DDoS finden Sie im Cloudflare-Lernzentrum. Im Abschnitt zu verwandten Ressourcen am Ende dieses Artikels finden Sie DDoS-Fallstudien.

Das Cloudflare HTTP DDoS Managed Ruleset

Das Cloudflare HTTP DDoS Managed Ruleset ist eine Reihe von vorkonfigurierten Regeln. Sie passen zu bereits bekannten Angriffsmustern, bekannten Angriffstools und verdächtigen Mustern – ebenso wie zu Protokollverletzungen, Anfragen, die große Mengen an Ursprungsfehlern verursachen, übermäßigem Traffic, der auf den Ursprung/Cache trifft und zusätzliche Angriffsvektoren auf der Anwendungsebene an der Edge. Der Regelsatz ist für Cloudflare-Kunden in allen Tarifen verfügbar und standardmäßig aktiviert.

Wenn Sie große Spitzen an legitimen Traffic erwarten, sollten Sie Ihre DDoS-Schutzeinstellungen anpassen. So vermeiden Sie falsch-positive Ergebnisse, bei denen legitimer Traffic fälschlicherweise als Angriffs-Traffic identifiziert und blockiert/in Frage gestellt wird.

Erfahren Sie mehr über das Cloudflare HTTP DDoS Managed Ruleset und die verfügbaren Konfigurationseinstellungen im Cloudflare-Portal für Entwickler.

Feststellen, ob Sie einem DDoS-Angriff ausgesetzt sind

Häufige Anzeichen dafür, dass Sie einem DDoS-Angriff ausgesetzt sind, sind:

• Ihre Website ist offline oder reagiert nur langsam auf Anfragen.
• Es gibt unerwartete Spitzen in den Diagrammen für Anfragen über Cloudflare oder Bandbreite in Ihrer Cloudflare-Analytics-App.
• Es gibt seltsame Anfragen in den Protokollen Ihres Ursprungswebservers, die nicht dem normalen Besucherverhalten entsprechen.

Greift Cloudflare mich an?

Es gibt zwei häufige Szenarien, bei denen es fälschlicherweise so wirkt, als sei Cloudflare für einen Angriff auf Ihre Website verantwortlich:

• Wenn Sie die ursprünglichen Besucher-IP-Adressen nicht wiederherstellen, erscheinen in Ihren Server-Protokollen Cloudflare-IP-Adressen für alle weitergeleiteten Anfragen.
• Der Angreifer fälscht die IPs von Cloudflare. Cloudflare sendet Traffic nur über ein paar bestimmte Ports an Ihren Ursprungswebserver, es sei denn, Sie verwenden Cloudflare Spectrum.

Da Cloudflare ein Reverse-Proxy ist, beobachtet Ihr Hosting-Provider im Idealfall den Angriffs-Traffic, der sich von Cloudflare-IP-Adressen aus verbindet. Wenn Sie dagegen Verbindungen von IP-Adressen sehen, die nicht zu Cloudflare gehören, erfolgt der Angriff direkt auf Ihren Ursprungswebserver. Cloudflare kann keine direkten Angriffe auf die IP-Adresse Ihres Ursprungsservers stoppen, da dieser Traffic das Netzwerk von Cloudflare umgeht.

Verwandte Ressourcen

• Reaktion auf DDoS-Angriffe
• Bewährte Vorgehensweisen: DDoS-Vorbeugemaßnahmen
• Einsatz von Cloudflare-Protokollen zur Untersuchung von DDoS-Traffic (nur Enterprise)
• Was ist ein DDoS-Angriff?
• Wie läuft ein DNS-Amplification-Angriff ab?

Fallstudien:

• Wie man einen DDoS mit 65 Gbit/s startet und wie man ihn stoppt
• Ein Waffenstillstand beendet keinen Cyberkrieg
• Überlegungen zur Reflection-Angriffen
• Ein brutal einfaches DDoS-Protokoll (SSDP) erzeugt einen DDoS mit 100 Gbit/s
• Memcrashed – Große Amplification-Angriffe von UDP-Port 11211
• Die wahre Ursache für große DDoS: IP-Spoofing