DDoS
Distributed Denial of Service — ein Angriff, bei dem eine Vielzahl kompromittierter Systeme gleichzeitig ein Ziel mit Anfragen überflutet, bis der Dienst für legitime Nutzer nicht mehr erreichbar ist.
Aktualisiert: 23. Februar 2026
Was ist DDoS?
DDoS steht für Distributed Denial of Service — ein verteilter Angriff zur Dienstverweigerung. Der Angreifer überflutet ein Ziel (Server, Netzwerk, Applikation) mit so vielen Anfragen oder so viel Traffic, dass legitime Nutzer nicht mehr bedient werden können. Der entscheidende Unterschied zum einfachen DoS (Denial of Service): Bei DDoS kommen die Angriffs-Pakete von Tausenden oder Millionen verschiedener Quellen gleichzeitig — typischerweise aus einem Botnetz kompromittierter Geräte (gehackte Computer, Router, IoT-Geräte).
Das Verteilte macht DDoS so schwer abwehrbar: Einfaches Blockieren einer einzelnen IP ist wirkungslos, wenn der Angriff gleichzeitig von Millionen IPs kommt. Und die angreifenden Geräte sind selbst Opfer — ihre ahnungslosen Besitzer merken meist nichts davon, dass ihr Router oder ihre Überwachungskamera Teil eines Angriffs ist.
Kurzprofil DDoS
- Typ: Angriff (Verfügbarkeitsangriff)
- Bedrohungsklasse: OWASP A05:2021 – Security Misconfiguration (Infrastruktur-Ebene)
- Ziel: Dienstverweigerung durch Ressourcenerschöpfung
- Betroffene Systeme: Alle netzwerkbasierten Dienste, Web-Server, WordPress
- Schweregrad: Hoch bis Kritisch (Geschäftsunterbrechung)
- Täter: Botnetze, staatliche Akteure, Hacktivisten, Erpresser
Wie funktioniert DDoS?
DDoS-Angriffe teilen sich in drei Hauptkategorien:
1. Volumetrische Angriffe (Netzwerkebene): Ziel ist die Erschöpfung der verfügbaren Netzwerkbandbreite. Der Angreifer sendet mehr Traffic als der Internetanschluss des Opfers verarbeiten kann.
- UDP Flood: Massenhaftes Senden von UDP-Paketen an zufällige Ports. Der Server prüft jeden Port, findet keine Applikation und sendet ICMP-„Port unreachable"-Nachrichten zurück. Die Antworten erschöpfen die Upload-Bandbreite.
- ICMP Flood (Ping Flood): Massenhafte ICMP-Echo-Anfragen überfluten die Verbindung.
- DNS Amplification: Der Angreifer sendet DNS-Anfragen mit gefälschter Absender-IP (die des Opfers) an öffentliche DNS-Server. Die Antworten (die 50-100x größer sind als die Anfragen) gehen an das Opfer — der Angreifer erzeugt mit minimalem Aufwand gigantischen Traffic.
Moderne volumetrische DDoS-Angriffe erreichen Terabit-Größenordnungen. 2020 verzeichnete Amazon Web Services nach eigenen Angaben einen Angriff mit 2,3 Tbit/s — dies ist nach Angaben von AWS der größte bekannte DDoS-Angriff zu diesem Zeitpunkt (aws.amazon.com Threat Intelligence Report 2020 ).
2. Protokollangriffe (Transportebene): Ziel ist die Erschöpfung von Verbindungstabellen und anderen Protokoll-Ressourcen auf dem Server oder einer vorgelagerten Firewall.
- SYN Flood: Ausnutzung des TCP-Handshake. Der Angreifer sendet SYN-Pakete (Verbindungsinitiierung) mit gefälschten Absender-IPs. Der Server antwortet mit SYN-ACK und wartet auf die finale ACK-Bestätigung — die nie kommt. Die halboffenen Verbindungen füllen die Verbindungstabelle, bis keine neuen echten Verbindungen mehr möglich sind.
- Ping of Death: Übermäßig große ICMP-Pakete bringen ältere Netzwerkstacks zum Absturz.
3. Applikationsschicht-Angriffe (Layer 7): Ziel ist die Erschöpfung von Server-Ressourcen (CPU, RAM, Datenbankverbindungen) durch legitim aussehende HTTP-Anfragen, die aufwändige Verarbeitungen auslösen.
- HTTP Flood: Tausende gleichzeitige GET-Anfragen auf eine schwere Seite (z.B. WordPress-Suche mit vielen Ergebnissen)
- Slowloris: Der Angreifer öffnet viele HTTP-Verbindungen und hält sie offen, indem er extrem langsam Headers sendet. Apache's begrenzter Verbindungspool wird erschöpft.
- WordPress XML-RPC Flood:
xmlrpc.phpwird mit tausenden simultanen Anfragen überflutet — besonders wirksam, weil jede Anfrage PHP und MySQL auslöst.
DDoS in der WordPress-Praxis
Für selbst-gehostete WordPress-Server sind Layer-7-Angriffe die häufigste DDoS-Bedrohung. Ein einfacher Angriff mit ein paar tausend gleichzeitigen Anfragen auf /wp-login.php kann einen VPS mit 2 vCPUs in die Knie zwingen.
Schutzstrategie für WordPress-Server:
DDoS-Schutz für WordPress
- CDN / DDoS-Scrubbing: Cloudflare, BunnyCDN, Fastly — der Traffic wird am Netzwerkrand gefiltert, bevor er den Origin-Server erreicht. Bei volumetrischen Angriffen der einzig wirksame Schutz.
- Rate-Limiting am Reverse Proxy: Traefik / Nginx: max. X Anfragen pro IP pro Sekunde
- CrowdSec: Erkennt und blockiert Layer-7-Flooding-Muster
- XML-RPC deaktivieren:
/xmlrpc.phpblockieren — häufiges DDoS-Ziel - Login-Rate-Limiting: Max. 5 Login-Versuche pro IP pro Minute
- WordPress-Caching: Gecachte Seiten brauchen kein PHP/MySQL — senkt Server-Last massiv
- IP-Geoblocking: Anfragen aus nicht-relevanten Ländern pauschal blockieren (Traefik, Cloudflare)
Traefik Rate-Limiting Konfiguration:
# traefik.yml Dynamic Configuration
http:
middlewares:
rate-limit:
rateLimit:
average: 50 # max. 50 Anfragen
period: 1s # pro Sekunde
burst: 100 # kurze Spitzen erlaubt
Cloudflare als DDoS-Schutz für WordPress: Der kostenlose Cloudflare-Plan bietet bereits grundlegenden DDoS-Schutz. Bei einem volumetrischen Angriff fungiert Cloudflare als "Shield" — der Origin-Server bleibt verborgen, der Traffic wird an Cloudflares weltweitem Netzwerk absorbiert. Wichtig: Die Origin-IP des Servers darf nicht bekannt sein, sonst können Angreifer Cloudflare umgehen.
Was passiert bei einem erfolgreichen DDoS-Angriff?
Ein erfolgreicher DDoS-Angriff macht die Ziel-Website oder -Anwendung für legitime Nutzer nicht erreichbar. Abhängig von der Zieldauer:
- Kurzfristig (Minuten bis Stunden): Umsatzverlust (E-Commerce), Reputationsschaden, Nutzerfrust
- Mittelfristig (Tage): Hoster-Kündigung (manche Hoster kündigen bei persistenten DDoS), SEO-Schaden durch Ausfallzeiten
- DDoS als Ablenkung: Angreifer starten DDoS, um Sicherheits-Teams abzulenken, während ein anderer Angriff (Datenbankabfrage, Credential-Diebstahl) unbemerkt läuft
DDoS-Angriffe werden häufig als Erpressungsangriffe eingesetzt: Der Angreifer droht mit einem Angriff und fordert Lösegeld. Die Zahlung garantiert keinen Schutz für die Zukunft.
Häufige Fragen
Was ist der Unterschied zwischen DoS und DDoS? DoS (Denial of Service) kommt von einem einzigen Angreifer-System. DDoS (Distributed Denial of Service) kommt von Tausenden verteilten Systemen — einem Botnetz. DoS-Angriffe sind trivial durch IP-Blocking abzuwehren. DDoS-Angriffe erfordern eine Lösung auf Netzwerkebene (CDN, Scrubbing-Center), weil das Blockieren einzelner IPs nicht skaliert.
Schützt Cloudflare vollständig gegen DDoS? Cloudflare schützt sehr gut gegen die meisten DDoS-Angriffe, insbesondere volumetrische. Aber Cloudflare ist kein perfekter Schutz: Sophisticated Layer-7-Angriffe, die CAPTCHAs lösen und legitimes Browser-Verhalten imitieren, können Cloudflare-Filter passieren. Und wenn die Origin-IP des Servers bekannt ist, kann der Angreifer Cloudflare komplett umgehen.
Sind kleine WordPress-Sites wirklich DDoS-Ziele?
Ja — aber meist nicht gezielt. Die meisten DDoS-Angriffe gegen kleine Sites sind opportunistisch: Botnetze testen systematisch bekannte WordPress-Endpunkte (xmlrpc.php, wp-login.php). Das ist technisch kein klassisches DDoS (kein Absicht zur Dienstverweigerung), hat aber denselben Effekt auf unterdimensionierten Servern.
Verwandte Begriffe
CIDR · TCP