Den Netzwerk-Stack verstehen
Wenn Daten durch das Internet reisen, durchlaufen sie mehrere Protokoll-Layer. Jeder Layer hat eine bestimmte Aufgabe — von den physischen Kabeln, die elektrische Signale übertragen, bis zur Anwendungslogik, die eine Webseite darstellt. Das Verständnis dieser Layer hilft dir, Konzepte wie Layer-4-Firewalls, Layer-7-DDoS-Schutz und den Unterschied zwischen TCP und UDP zu verstehen.
Das OSI-Modell in der Praxis
Das OSI-Modell (Open Systems Interconnection) beschreibt sieben Layer der Netzwerkkommunikation. In der Praxis arbeitest du hauptsächlich mit den Layern 3, 4 und 7:
| Layer | Name | Aufgabe | Beispiele |
|---|---|---|---|
| 7 | Anwendung | Das Protokoll, das deine Software spricht | HTTP, HTTPS, DNS, SMTP, SSH |
| 6 | Darstellung | Datenkodierung, Verschlüsselung | TLS/SSL, Komprimierung |
| 5 | Sitzung | Verbindungsverwaltung | Sitzungsaufbau |
| 4 | Transport | Zuverlässige oder schnelle Zustellung zwischen Endpunkten | TCP, UDP |
| 3 | Netzwerk | Routing von Paketen zwischen Netzwerken | IP (IPv4, IPv6), ICMP |
| 2 | Sicherung | Kommunikation innerhalb eines lokalen Netzwerks | Ethernet, Wi-Fi (MAC-Adressen) |
| 1 | Physisch | Rohe Datenübertragung über Kabel oder Funk | Elektrische Signale, Glasfaser |
Die Layer 1 bis 3 werden von deiner Hosting-Infrastruktur übernommen. Als Serveradministrator arbeitest du hauptsächlich mit den Layern 4 und 7.
Layer 4: Transport
Der Transport-Layer ist dafür verantwortlich, Daten zuverlässig (oder schnell) zwischen zwei Endpunkten zu übertragen. Die beiden Hauptprotokolle sind TCP und UDP.
TCP (Transmission Control Protocol)
TCP ist ein verbindungsorientiertes Protokoll. Bevor Daten fließen, führen beide Seiten einen Drei-Wege-Handshake durch, um eine Verbindung aufzubauen:
- SYN — der Client sendet eine Synchronisierungsanfrage
- SYN-ACK — der Server bestätigt und sendet sein eigenes SYN
- ACK — der Client bestätigt, und die Verbindung ist offen
TCP garantiert:
- Reihenfolge — Pakete kommen in der richtigen Reihenfolge an
- Zuverlässigkeit — verlorene Pakete werden automatisch erneut gesendet
- Flusskontrolle — der Sender passt die Geschwindigkeit an, um den Empfänger nicht zu überlasten
- Fehlerprüfung — beschädigte Pakete werden erkannt und erneut gesendet
Der größte Teil des Internetverkehrs nutzt TCP: Websurfen (HTTP/HTTPS), E-Mail (SMTP, IMAP), Dateiübertragungen (FTP, SFTP), SSH und Datenbankverbindungen.
UDP (User Datagram Protocol)
UDP ist ein verbindungsloses Protokoll. Es gibt keinen Handshake — der Sender überträgt einfach Pakete (Datagramme), ohne auf eine Bestätigung zu warten.
UDP bietet:
- Geschwindigkeit — kein Handshake-Overhead, geringere Latenz
- Einfachheit — minimale Protokoll-Header
UDP garantiert nicht:
- Zustellung (Pakete können verloren gehen)
- Reihenfolge (Pakete können in falscher Reihenfolge ankommen)
- Duplikaterkennung
UDP wird dort eingesetzt, wo Geschwindigkeit wichtiger ist als Zuverlässigkeit: DNS-Abfragen, Video-Streaming, Online-Gaming, VoIP und VPN-Tunnel (WireGuard, OpenVPN).
Wann es relevant wird
Wenn du eine Firewall konfigurierst, musst du angeben, ob eine Regel für TCP, UDP oder beides gilt. Zum Beispiel:
- SSH verwendet TCP-Port 22
- HTTP verwendet TCP-Port 80
- HTTPS verwendet TCP-Port 443
- DNS verwendet UDP (und manchmal TCP) Port 53
- WireGuard VPN verwendet UDP-Port 51820
Layer 7: Anwendung
Der Application-Layer definiert die Struktur und Bedeutung der ausgetauschten Daten. Wenn du eine Website öffnest, spricht dein Browser HTTP (oder HTTPS) mit dem Webserver. Wenn du eine E-Mail sendest, spricht dein Mailclient SMTP.
Warum Layer 7 für die Sicherheit wichtig ist
Layer-7-Angriffe zielen auf die Anwendung selbst, nicht auf die Netzwerkinfrastruktur. Ein Layer-7-DDoS-Angriff könnte:
- Millionen von legitim aussehenden HTTP-Anfragen senden, um einen Webserver zu überlasten
- Aufwändige API-Endpunkte angreifen, die erhebliche Serverressourcen verbrauchen
- Langsame HTTP-Verbindungen (Slowloris) ausnutzen, um Verbindungspools zu erschöpfen
Diese Angriffe sind schwerer zu erkennen, da jede einzelne Anfrage normal aussieht. Die Abwehr erfordert die Inspektion von Inhalt und Verhalten der Anfragen, nicht nur das Zählen von Paketen.
Layer-4-Angriffe hingegen überfluten das Netzwerk mit rohem Traffic (SYN-Floods, UDP-Floods, Amplification-Angriffe). Sie werden durch die Untersuchung von Paket-Headern blockiert, ohne das Anwendungsprotokoll verstehen zu müssen.
Mehr darüber, wie diese Schutzmaßnahmen bei Sitequest funktionieren, findest du unter DDoS-Schutz.
Wie sich die Layer auf Sitequest-Features beziehen
| Feature | Layer | Funktion |
|---|---|---|
| Firewall | 4 | Filtert Traffic nach Port, Protokoll (TCP/UDP) und Quell-IP |
| DDoS-Schutz — L4 | 3–4 | Blockiert volumetrische und protokollbasierte Floods |
| DDoS-Schutz — L7 | 7 | Inspiziert HTTP-Anfragen, um Angriffe auf Anwendungsebene zu filtern |
| SSH / VNC | 7 | Anwendungsprotokolle für Serverzugriff |
| Monitoring | 3–4 | Misst ICMP-Ping (L3) und TCP-Port-Erreichbarkeit (L4) |
Ports
Ein Port ist eine Nummer (0 bis 65535), die einen bestimmten Dienst auf einem Server identifiziert. Während eine IP-Adresse die Maschine identifiziert, bestimmt der Port, welches Programm die eingehenden Daten verarbeiten soll.
Bekannte Ports:
| Port | Protokoll | Dienst |
|---|---|---|
| 22 | TCP | SSH |
| 53 | UDP/TCP | DNS |
| 80 | TCP | HTTP |
| 443 | TCP | HTTPS |
| 25 | TCP | SMTP (E-Mail-Versand) |
| 3306 | TCP | MySQL |
| 5432 | TCP | PostgreSQL |
Wenn du eine Firewall-Regel hinzufügst, gibst du an, welchen Port (oder Portbereich) du erlauben oder blockieren möchtest und ob sie für TCP- oder UDP-Traffic gilt.
Alles zusammen
Wenn du https://example.com in deinen Browser eingibst:
- DNS (L7 über UDP/L4) — dein Gerät löst
example.comin eine IP-Adresse auf - IP-Routing (L3) — Pakete werden durch das Internet zur IP des Servers geroutet
- TCP-Handshake (L4) — dein Browser stellt eine zuverlässige Verbindung auf Port 443 her
- TLS-Handshake (L6) — die Verschlüsselung für HTTPS wird ausgehandelt
- HTTP-Anfrage (L7) — dein Browser sendet
GET /und der Server antwortet mit HTML
Wenn der Server eine Firewall hat, wird die TCP-Verbindung in Schritt 3 nur zugelassen, weil Port 443 offen ist. Wenn Layer-7-DDoS-Schutz aktiv ist, wird die HTTP-Anfrage in Schritt 5 inspiziert, bevor sie an die Anwendung weitergeleitet wird.
Nächste Schritte
- Firewall konfigurieren, um zu kontrollieren, welche Ports offen sind
- DDoS-Schutz einrichten auf Layer 4 und Layer 7
- Erfahre, was eine IP-Adresse ist für einen Überblick über IPv4, IPv6 und CIDR