Zurück zum Blog
Januar 19, 2026Anleitungen

So schützen Sie Ihren VPS vor DDoS-Angriffen: Praktischer Leitfaden

Umfassender Leitfaden zum Schutz Ihres VPS vor DDoS-Angriffen unter Verwendung von Firewalls, Ratenbegrenzung und anderen bewährten Methoden.

So schützen Sie Ihren VPS vor DDoS-Angriffen: Praktischer Leitfaden

DDoS-Angriffe (Distributed Denial of Service) können Ihren Server in wenigen Minuten offline nehmen, was zu Umsatzverlusten, Kundenunzufriedenheit und Reputationsschäden führt. Im Jahr 2026 sind solche Angriffe ausgefeilter und zugänglicher geworden. Glücklicherweise haben sich auch moderne Schutzmethoden weiterentwickelt. Dieser Leitfaden zeigt Ihnen, wie Sie Ihren Hiddence-VPS vor den häufigsten Arten von DDoS-Angriffen schützen.

Was ist ein DDoS-Angriff?

Ein DDoS-Angriff tritt auf, wenn mehrere Computer (Botnet) gleichzeitig Anfragen an Ihren Server senden, dessen Ressourcen überlasten und ihn für legitime Benutzer unzugänglich machen.

Hauptarten von DDoS-Angriffen

  • Volumetrische Angriffe (L3/L4): UDP-Flood, ICMP, SYN-Flood — überlasten die Netzwerkbandbreite
  • Anwendungsschicht-Angriffe (L7): HTTP-Flood, Slowloris — zielen auf die Anwendungsschicht
  • Protokoll-Angriffe: Nutzen Schwachstellen in Netzwerkprotokollen aus

Eingebauter Hiddence-Schutz

Alle Hiddence-VPS beinhalten einen grundlegenden Layer 3-4 DDoS-Schutz (Netzwerkebene). Dieser filtert automatisch die meisten volumetrischen Angriffe. Layer 7 (Anwendungs-) Angriffe erfordern jedoch zusätzliche Konfiguration.

Schritt 1: Firewall-Einrichtung

Die erste Verteidigungslinie ist eine ordnungsgemäße Firewall-Konfiguration. UFW (Uncomplicated Firewall) ist ein einfaches und effektives Tool für Ubuntu/Debian.

bash
# UFW installieren
sudo apt update && sudo apt install ufw -y

# SSH zulassen (WICHTIG! Tun Sie dies, bevor Sie UFW aktivieren)
sudo ufw allow 22/tcp

# HTTP und HTTPS zulassen
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# UFW aktivieren
sudo ufw enable

# Status prüfen
sudo ufw status verbose

# Erweiterte Schutzregeln:
# SSH-Verbindungen begrenzen (Brute-Force-Schutz)
sudo ufw limit 22/tcp

# ICMP-Ping-Floods blockieren
sudo nano /etc/ufw/before.rules
# Nach *filter hinzufügen:
-A ufw-before-input -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

# Schutz gegen SYN-Flood
sudo nano /etc/sysctl.conf
# Hinzufügen:
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5

# Änderungen anwenden
sudo sysctl -p

Schritt 2: Fail2Ban installieren

Fail2Ban blockiert automatisch IP-Adressen, die verdächtige Aktivitäten zeigen (mehrere fehlgeschlagene Login-Versuche, Port-Scans).

bash
# Installieren
sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

# Konfiguration für SSH- und HTTP-Schutz
# Lokale Konfiguration erstellen
sudo nano /etc/fail2ban/jail.local

# Hinzufügen:
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 5
banaction = ufw

[sshd]
enabled = true
port = 22
logpath = /var/log/auth.log

[nginx-http-auth]
enabled = true
filter = nginx-http-auth
port = http,https
logpath = /var/log/nginx/error.log

[nginx-limit-req]
enabled = true
filter = nginx-limit-req
port = http,https
logpath = /var/log/nginx/error.log

# Fail2Ban neu starten
sudo systemctl restart fail2ban

# Status prüfen
sudo fail2ban-client status

Schritt 3: Nginx-Schutz

Wenn Sie Nginx verwenden, konfigurieren Sie die Ratenbegrenzung, um sich vor HTTP-Flood-Angriffen zu schützen.

bash
sudo nano /etc/nginx/nginx.conf

# Zum http-Block hinzufügen:
http {
    # Anfragelimit: 10 Anfragen pro Sekunde pro IP
    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
    
    # Verbindungslimit
    limit_conn_zone $binary_remote_addr zone=addr:10m;
    
    # Slowloris-Schutz
    client_body_timeout 10s;
    client_header_timeout 10s;
    keepalive_timeout 5s 5s;
    send_timeout 10s;
    
    # Rest der Konfiguration...
}

# Im server-Block hinzufügen:
server {
    location / {
        # Anfragelimit anwenden
        limit_req zone=one burst=20 nodelay;
        
        # Verbindungslimit: max 10 pro IP
        limit_conn addr 10;
        
        # Ihre Konfiguration...
    }
}

# Konfiguration testen und neu laden
sudo nginx -t
sudo systemctl reload nginx

Schritt 4: CDN verwenden

Für maximalen Schutz verwenden Sie einen CDN-Dienst wie Cloudflare. Das CDN fungiert als Proxy, versteckt die echte IP Ihres Servers und absorbiert die meisten DDoS-Angriffe. Vorteile: echte IP verbergen, automatische Filterung von bösartigem Verkehr, Lastverteilung, kostenloses SSL/TLS, WAF für L7-Schutz.

  • Auf cloudflare.com registrieren (kostenloser Plan verfügbar)
  • Ihre Domain hinzufügen und NS-Einträge bei Ihrem Registrar ändern
  • Modus 'Proxy' (orange Wolke) für DNS-Einträge aktivieren
  • SSL-Modus auf 'Full (strict)' im Abschnitt SSL/TLS setzen
  • 'DDoS Protection' und 'Bot Fight Mode' in den Sicherheitseinstellungen aktivieren

Schritt 5: Überwachung

Regelmäßige Überwachung hilft, Angriffe frühzeitig zu erkennen.

bash
# Aktive Verbindungen überwachen
watch -n 1 'ss -s'

# Top-IPs nach Verbindungsanzahl anzeigen
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

# Logs in Echtzeit anzeigen
sudo tail -f /var/log/nginx/access.log
sudo journalctl -u nginx -f

# Blockierte IPs in Fail2Ban prüfen
sudo fail2ban-client status sshd

Notfallmaßnahmen

Wenn bereits ein Angriff im Gange ist, ergreifen Sie folgende Maßnahmen:

  • Quelle identifizieren: Nutzen Sie 'netstat' oder Logs, um angreifende IPs zu identifizieren
  • Temporäre Sperre: sudo ufw insert 1 deny from ANGRIFFS_IP
  • Ganze Subnetze blockieren: sudo ufw deny from 123.45.0.0/16
  • Ratenlimit begrenzen: Nginx-Limits vorübergehend auf 1-5 req/s senken
  • Support kontaktieren: Wenden Sie sich an den Hiddence-Support zur Aktivierung des erweiterten Schutzes
  • 'Under Attack Mode' in Cloudflare aktivieren (falls verwendet)

Best Practices

  • Veröffentlichen Sie niemals die echte IP Ihres Servers, wenn Sie CDN verwenden
  • Aktualisieren Sie das System regelmäßig: sudo apt update && sudo apt upgrade
  • Verwenden Sie SSH-Schlüssel anstelle von Passwörtern für den Serverzugriff
  • Ändern Sie den Standard-SSH-Port (22) auf einen nicht standardmäßigen
  • Richten Sie automatische Backups für eine schnelle Wiederherstellung ein
  • Verwenden Sie separate IPs für kritische Dienste
  • Aktivieren Sie das Logging und überprüfen Sie die Logs regelmäßig auf verdächtige Aktivitäten
  • Erwägen Sie die Verwendung von Geoblocking, wenn Ihr Dienst nicht global ist