DoS & DDoS Mitigation
Denial-of-Service-Angriffe überlasten Ihren Server mit Anfragen, bis er nicht mehr erreichbar ist. Diese Seite gibt einen vollständigen Überblick über alle Schutzmaßnahmen — von Firewall-Regeln über Fail2Ban bis zu externem DDoS-Schutz.
DoS vs. DDoS: Ein einfacher DoS-Angriff kommt von einer einzelnen Quelle und kann effektiv auf dem Server selbst abgewehrt werden. Ein verteilter DDoS-Angriff mit Tausenden von Quell-IPs übersteigt die Kapazitäten eines einzelnen Servers — hier ist ein vorgelagerter DDoS-Schutzdienst die einzig wirksame Lösung.
Schutzmaßnahmen im Überblick
Ein vollständiger DoS-Schutz besteht aus mehreren Schichten. Die folgende Tabelle zeigt, welche Maßnahmen auf welcher Ebene wirken:
| Maßnahme | Betriebssystem | Ebene | Schützt gegen |
|---|---|---|---|
| iptables / nftables | Linux | Netzwerk | SYN-Floods, Verbindungsfluten |
| Fail2Ban | Linux | Anwendung | Brute-Force, SSH-Angriffe, HTTP-Scans |
| Nginx Rate-Limiting | Linux | HTTP | Slowloris, HTTP-Floods, API-Missbrauch |
| Windows Defender Firewall | Windows | Netzwerk | RDP-Brute-Force, Port-Scans |
| Externer DDoS-Schutz | Alle | Vorgelagert | Volumetrische DDoS-Angriffe |
Empfohlene Werte nach Servertyp
Die richtigen Rate-Limit-Werte hängen vom Einsatzzweck ab. Diese Tabelle gibt Orientierungswerte — starten Sie großzügiger und beobachten Sie die Logs, zu strenge Limits blockieren legitime Nutzer.
| Servertyp | SSH | HTTP/HTTPS | Hinweis |
|---|---|---|---|
| Webserver / WordPress | 3/min, burst 5 | 20/s, burst 100 | Zusätzlich Nginx Rate-Limiting empfohlen |
| Game Server | 3/min, burst 5 | — | Game-Ports (z. B. UDP 25565) separat schützen, großzügigere Burst-Werte für Spieler |
| Mailserver | 3/min, burst 5 | — | SMTP (25), IMAP (993), POP3 (995) zusätzlich mit Fail2Ban schützen |
| VPS / Allgemein | 3/min, burst 5 | 10/s, burst 50 | Konservative Grundkonfiguration — je nach Dienst anpassen |
1. Rate-Limiting mit iptables Linux
Mit dem limit- und recent-Modul können Sie die Anzahl neuer Verbindungen pro IP und Zeitfenster begrenzen.
SSH-Port absichern (Port 22)
Maximal 3 neue Verbindungen pro Minute — weitere Versuche werden verworfen:
Webserver absichern (Port 80 / 443)
Begrenzt etablierte Verbindungen auf 20 pro Sekunde pro IP — schützt gegen Slowloris und HTTP-Floods:
Temporäres IP-Blocking mit dem recent-Modul
IPs, die innerhalb von 60 Sekunden mehr als 15 neue Pakete senden, werden automatisch blockiert:
2. Rate-Limiting mit nftables Linux
Mit nftables lässt sich Rate-Limiting direkt in der Konfigurationsdatei definieren — übersichtlicher und performanter als iptables.
SSH-Brute-Force-Schutz
Fügen Sie diese Zeilen in den input-Block Ihrer nftables-Konfiguration ein:
HTTP-Flood-Schutz
Begrenzt neue HTTP/HTTPS-Verbindungen auf 100 pro Sekunde:
SYN-Flood-Schutz
Verwirft TCP-Pakete ohne gültigen Verbindungsstatus:
Laden Sie die Konfiguration nach jeder Änderung mit nft -f /etc/nftables.conf neu.
3. Fail2Ban — automatisches IP-Blocking Linux
Fail2Ban überwacht Log-Dateien und sperrt automatisch IPs, die zu viele fehlgeschlagene Versuche produzieren. Es arbeitet nahtlos mit iptables und nftables zusammen.
Installation
SSH-Schutz konfigurieren
Erstellen Sie die folgende neue Datei. Sie legt fest, dass SSH-Adressen nach 5 Fehlversuchen innerhalb von 10 Minuten für 1 Stunde gesperrt werden:
Dienst starten & Status prüfen
4. Nginx Rate-Limiting Linux
Nginx bietet integriertes Rate-Limiting auf HTTP-Ebene — ideal gegen Slowloris, API-Missbrauch und HTTP-Floods, die die Firewall bereits passiert haben.
Schritt 1: Rate-Limit Zone definieren
Fügen Sie folgende Zeile in den http-Block Ihrer Nginx-Hauptkonfiguration ein:
Schritt 2: Rate-Limit auf einen Server-Block anwenden
Fügen Sie folgendes in den location-Block Ihrer Site-Konfiguration ein:
rate=10r/s erlaubt 10 Anfragen pro Sekunde pro IP. burst=20 erlaubt kurze Spitzen — danach werden überschüssige Anfragen mit HTTP 503 abgelehnt.
5. Windows Defender Firewall & RDP absichern Windows
Auf Windows-Servern erfolgt der Schutz über die Windows Defender Firewall und Kontorichtlinien. Der kritischste Angriffspunkt ist RDP (Port 3389).
RDP auf eine bestimmte IP einschränken
Erlaubt RDP-Zugriff ausschließlich von einer vertrauenswürdigen IP — alle anderen werden blockiert:
Empfohlene Werte für Windows-Server
| Servertyp | RDP | Empfehlung |
|---|---|---|
| Webserver (IIS) | Nur Admin-IP | IIS Dynamic IP Restrictions Modul aktivieren |
| Game Server | Nur Admin-IP | Game-Ports explizit freigeben, alle anderen blockieren |
| Mailserver | Nur Admin-IP | SMTP/IMAP/POP3-Ports nur für notwendige Quellen öffnen |
Kontosperrungsrichtlinie konfigurieren
Öffnen Sie secpol.msc → Kontorichtlinien → Kontosperrungsrichtlinie — wirkt wie Fail2Ban für RDP und lokale Anmeldungen:
| Einstellung | Empfohlener Wert |
|---|---|
| Kontosperrungsschwellenwert | 5 Fehlversuche |
| Kontosperrdauer | 30 Minuten |
| Beobachtungsfenster | 15 Minuten |
6. Regeln persistent speichern Linux
iptables-Regeln gehen nach einem Neustart verloren — speichern Sie sie dauerhaft:
Debian / Ubuntu
CentOS / RHEL
nftables (alle Distributionen)
7. Externer DDoS-Schutz
Bei volumetrischen DDoS-Angriffen (mehrere Gbit/s) sind serverseitige Maßnahmen wirkungslos — die Leitung ist bereits überlastet, bevor Pakete den Server erreichen:
Weiterführende Firewall-Anleitungen
Für vollständige Firewall-Konfigurationen mit Default-Deny-Strategie empfehlen wir unsere detaillierten Anleitungen.