Cloudflares DDoS-Schutz
Überblick
Ein Distributed-Denial-of-Service-Angriff (DDoS) zielt darauf ab, einen Onlinedienst für seine Endbenutzer unerreichbar zu machen. Für alle Tariftypen bietet Cloudflare eine zeitlich unbeschränkte Abwehr von DDoS-Angriffen auf den Ebenen 3, 4 und 7 an. Cloudflare rechnet nicht nach Angriffsumfang ab und hat keine Obergrenze für die Angriffsgröße, -art oder -dauer.
Das Netzwerk von Cloudflare ist so aufgebaut, dass große DDoS-Angriffe automatisch überwacht und bekämpft werden. Durch das Caching Ihrer Inhalte bei Cloudflare schützen Sie außerdem Ihre Website gegen kleine DDoS-Angriffe. Für Ressourcen, die nicht zwischengespeichert werden, sind zusätzliche manuelle Reaktionen auf DDoS-Angriffe nötig.
Darüber hinaus hilft Cloudflare bei der Abwehr kleinerer DDoS-Angriffe:
-
Für Zonen bei jedem beliebigen Plan, wenn die HTTP-Fehlerrate über der Empfindlichkeitsstufe Hoch (Standard) von 1.000 Fehlern pro Sekunde liegt. Sie können die Empfindlichkeitsstufe verringern, indem Sie das HTTP DDoS Attack Protection Managed Ruleset konfigurieren.
-
Für Zonen mit Pro, Business und Enterprise Plan führt Cloudflare eine zusätzliche Prüfung für eine bessere Erkennungsgenauigkeit durch: Die Fehlerrate pro Sekunde muss mindestens das Fünffache des normalen Ursprung-Traffics betragen.
Cloudflare ermittelt die Fehlerrate auf der Grundlage aller HTTP-Fehler im Bereich 52X (Internal Server Error) und im Bereich 53X, mit Ausnahme des Fehlers 530.
Fälle der Abwehr von HTTP-DDoS-Angriffen werden im Analytics-Dashboard der Firewall als HTTP-DDoS-Ereignisse angezeigt.Diese Ereignisse sind auch über Cloudflare-Protokolle verfügbar.
Derzeit können Kunden bei DDoS-Abwehrmaßnahmen, die auf der HTTP-Fehlerrate basieren, bestimmte HTTP-Fehlercodes nicht ausschließen.
Weitere Informationen zu berühmten DDoS-Angriffen und DDoS finden Sie im Cloudflare-Lernzentrum. Im Abschnitt zu verwandten Ressourcen am Ende dieses Artikels finden Sie DDoS-Fallstudien.
Das Cloudflare HTTP DDoS Attack Protection Managed Ruleset
Das Cloudflare HTTP DDoS Attack Protection Managed Ruleset ist eine Reihe von vorkonfigurierten Regeln. Sie passen zu bereits bekannten Angriffsmustern, bekannten Angriffstools und verdächtigen Mustern – ebenso wie zu Protokollverletzungen, Anfragen, die große Mengen an Ursprungsfehlern verursachen, übermäßigem Traffic, der auf den Ursprung/Cache trifft und zusätzliche Angriffsvektoren auf der Anwendungsebene an der Edge. Der Regelsatz ist für Cloudflare-Kunden in allen Tarifen verfügbar und standardmäßig aktiviert.
Wenn Sie große Spitzen an legitimen Traffic erwarten, sollten Sie Ihre DDoS-Schutzeinstellungen anpassen. So vermeiden Sie falsch-positive Ergebnisse, bei denen legitimer Traffic fälschlicherweise als Angriffs-Traffic identifiziert und blockiert/in Frage gestellt wird.
Erfahren Sie mehr über das Cloudflare HTTP DDoS Attack Protection Managed Ruleset und die verfügbaren Konfigurationseinstellungen im Cloudflare-Portal für Entwickler.
Weitere Informationen zu den von HTTP-DDoS-Angriffsschutzsystemen durchgeführten Aktionen finden Sie unter HTTP DDoS-Angriffsschutzparameter: Aktion.
Das Cloudflare DDoS Attack Protection Managed Ruleset auf der Netzwerkebene
Das Cloudflare DDoS Attack Protection Managed Ruleset auf der Netzwerkebene ist ein Satz von vorkonfigurierten Regeln, die verwendet werden, um bekannten DDoS-Angriffsvektoren auf den Ebenen 3 und 4 des OSI-Modells zu begegnen. Der Regelsatz ist für Cloudflare-Kunden in allen Tarifen verfügbar und standardmäßig aktiviert.
Erfahren Sie mehr über das Cloudflare DDoS Attack Protection Managed Ruleset auf der Netzwerkebene und die verfügbaren Konfigurationseinstellungen im Cloudflare-Portal für Entwickler.
Weitere Informationen zu den von L3/4 DDoS-Angriffsschutzsystemen durchgeführten Aktionen finden Sie unter DDoS-Angriffsschutzparameter auf der Netzwerkebene: Aktion.
Feststellen, ob Sie einem DDoS-Angriff ausgesetzt sind
Häufige Anzeichen dafür, dass Sie einem DDoS-Angriff ausgesetzt sind, sind:
- Ihre Website ist offline oder reagiert nur langsam auf Anfragen.
- Es gibt unerwartete Spitzen in den Diagrammen für Anfragen über Cloudflare oder Bandbreite in Ihrer Cloudflare-Analytics-App.
- Es gibt seltsame Anfragen in den Protokollen Ihres Ursprungswebservers, die nicht dem normalen Besucherverhalten entsprechen.
Greift Cloudflare mich an?
Es gibt zwei häufige Szenarien, bei denen es fälschlicherweise so wirkt, als sei Cloudflare für einen Angriff auf Ihre Website verantwortlich:
- Wenn Sie die ursprünglichen Besucher-IP-Adressen nicht wiederherstellen, erscheinen in Ihren Server-Protokollen Cloudflare-IP-Adressen für alle weitergeleiteten Anfragen.
- Der Angreifer fälscht die IPs von Cloudflare. Cloudflare sendet Traffic nur über ein paar bestimmte Ports an Ihren Ursprungswebserver, es sei denn, Sie verwenden Cloudflare Spectrum.
Da Cloudflare ein Reverse-Proxy ist, beobachtet Ihr Hosting-Provider im Idealfall den Angriffs-Traffic, der sich von Cloudflare-IP-Adressen aus verbindet. Wenn Sie dagegen Verbindungen von IP-Adressen sehen, die nicht zu Cloudflare gehören, erfolgt der Angriff direkt auf Ihren Ursprungswebserver. Cloudflare kann keine direkten Angriffe auf die IP-Adresse Ihres Ursprungsservers stoppen, da dieser Traffic das Netzwerk von Cloudflare umgeht.
Verwandte Ressourcen
- Reaktion auf DDoS-Angriffe
- Bewährte Vorgehensweisen: DDoS-Vorbeugemaßnahmen
- Einsatz von Cloudflare-Protokollen zur Untersuchung von DDoS-Traffic (nur Enterprise)
- Was ist ein DDoS-Angriff?
- Wie läuft ein DNS-Amplification-Angriff ab?
Fallstudien:
- Wie man einen DDoS mit 65 Gbit/s startet und wie man ihn stoppt
- Ein Waffenstillstand beendet keinen Cyberkrieg
- Überlegungen zur Reflection-Angriffen
- Ein brutal einfaches DDoS-Protokoll (SSDP) erzeugt einen DDoS mit 100 Gbit/s
- Memcrashed – Große Amplification-Angriffe von UDP-Port 11211
- Die wahre Ursache für große DDoS: IP-Spoofing