**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AWS Shield Advanced Ereignisse anzeigen
<a name="ddos-events"></a>

Diese Seite enthält Anweisungen für den Zugriff auf Informationen über Ereignisse in Shield Advanced.

Wenn Sie Shield Advanced abonnieren und Ihre Ressourcen schützen, erhalten Sie Zugriff auf zusätzliche Sichtbarkeitsfunktionen für die Ressourcen. Dazu gehören Benachrichtigungen nahezu in Echtzeit über Ereignisse, die von Shield Advanced erkannt werden, sowie zusätzliche Informationen über erkannte Ereignisse und Abhilfemaßnahmen. 

**Anmerkung**  
Ihre Ereignisinformationen in der Shield Advanced-Konsole basieren auf Shield Advanced-Metriken. Informationen zu Shield Advanced-Metriken finden Sie unter [AWS Shield Advanced Metriken](shield-metrics.md) 

AWS Shield bewertet den Datenverkehr zu Ihrer geschützten Ressource anhand mehrerer Dimensionen. Wenn eine Anomalie erkannt wird, erstellt Shield Advanced für jede betroffene Ressource ein separates Ereignis. 

Sie können über die Seite **Ereignisse der Shield-Konsole auf Zusammenfassungen und Details zu den Ereignissen** zugreifen. Die Seite „**Ereignisse**“ auf oberster Ebene bietet einen Überblick über aktuelle und vergangene Ereignisse. 

Der folgende Screenshot zeigt ein Beispiel für eine **Veranstaltungsseite** mit einem einzelnen laufenden Ereignis. Dieses aktive Ereignis wird auch im linken Navigationsbereich gekennzeichnet. 

![\[Im linken Navigationsbereich der AWS Shield Konsole ist die Auswahl Ereignisse rot hervorgehoben, daneben befindet sich eine Zahl 1 in einem roten Kreis. Die Seite „Ereignisse“ ist geöffnet und enthält eine einzelne Zeile in der Ereignisliste. In der Zeile wird eine AWS Ressource vom Typ CloudFront Verteilung aufgeführt. Das Feld Aktueller Status enthält ein dreieckiges rotes Symbol neben den Worten Schadensbegrenzung in Bearbeitung. Das Statusfeld Attack Vectors enthält UDP-Verkehr. Das Feld Startzeit enthält den Wert 16. September 2020, 14:43:00 Uhr SAST. Das Feld Dauer enthält 6 Minuten.\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/shield-console-event-summary1.png)


Shield Advanced kann je nach Art des Datenverkehrs und den von Ihnen konfigurierten Schutzmaßnahmen auch automatisch Abhilfemaßnahmen gegen Angriffe ergreifen. Diese Abhilfemaßnahmen können Ihre Ressource davor schützen, übermäßigen Datenverkehr oder Datenverkehr zu empfangen, der einer bekannten DDo S-Angriffssignatur entspricht.

Der folgende Screenshot zeigt ein Beispiel für **Ereignisse**, bei denen alle Ereignisse durch Shield Advanced gemildert wurden oder von selbst abgeklungen sind. 

![\[Auf einer AWS Shield Konsolenseite mit dem Titel Ereignisse werden Ereignisse, die kürzlich erkannt wurden, und ihr aktueller Status aufgeführt.\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/shield-console-events.png)


**Schützen Sie Ihre Ressourcen vor einem Ereignis**  
Verbessern Sie die Genauigkeit der Ereigniserkennung, indem Sie Ressourcen mit Shield Advanced schützen, während sie den normalen erwarteten Verkehr empfangen, bevor sie einem DDo S-Angriff ausgesetzt sind.

Um Ereignisse für eine geschützte Ressource korrekt melden zu können, muss Shield Advanced zunächst eine Basislinie der erwarteten Datenverkehrsmuster für diese Ressource erstellen.
+ Shield Advanced meldet Ereignisse auf Infrastrukturebene für Ressourcen, nachdem sie mindestens 15 Minuten lang geschützt wurden.
+ Shield Advanced meldet Ereignisse auf Webanwendungsebene für Ressourcen, nachdem sie mindestens 24 Stunden lang geschützt wurden. Die Genauigkeit der Erkennung von Ereignissen auf Anwendungsebene ist am besten, wenn Shield Advanced den erwarteten Verkehr 30 Tage lang beobachtet hat. 

**Um auf Ereignisinformationen in der AWS Shield Konsole zuzugreifen**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF & Shield-Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Wählen Sie im AWS Shield Navigationsbereich **Ereignisse** aus. In der Konsole wird die Seite **Ereignisse** angezeigt. 

1. Auf der Seite **Ereignisse** können Sie ein beliebiges Ereignis in der Liste auswählen, um zusätzliche Übersichtsinformationen und Details zu dem Ereignis anzuzeigen. 

**Topics**
+ [Liste der Felder in AWS Shield Advanced Ereigniszusammenfassungen](ddos-event-summaries.md)
+ [AWS Shield Advanced Veranstaltungsdetails anzeigen](ddos-event-details.md)

# Liste der Felder in AWS Shield Advanced Ereigniszusammenfassungen
<a name="ddos-event-summaries"></a>

Auf dieser Seite werden die Felder in den Shield Advanced-Ereigniszusammenfassungen aufgeführt und definiert.

Sie können Zusammenfassung und Detailinformationen zu einem Ereignis auf der Konsolenseite des Ereignisses anzeigen. Um die Seite für ein Ereignis zu öffnen, wählen Sie den Namen der AWS Ressource aus der Liste der **Veranstaltungsseiten** aus. 

Der folgende Screenshot zeigt ein Beispiel für eine Ereigniszusammenfassung für ein Ereignis auf Netzwerkebene. 

![\[Im Übersichtsbereich der Ereignisseite der AWS Shield Konsole werden Informationen zu einem Ereignis aufgeführt. Dazu gehören die betroffene AWS Ressource, Angriffsvektoren, Start- und Endzeiten sowie Abwehr- und Statusinformationen.\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/shield-console-event-summary2.png)


Die Zusammenfassung der Informationen auf der Ereignisseite umfasst Folgendes. 
+ **Aktueller Status** — Werte, die den Status des Ereignisses und die Aktionen angeben, die Shield Advanced für das Ereignis ergriffen hat. Statuswerte gelten für Ereignisse auf Infrastrukturebene (Schicht 3 oder 4) und Anwendungsebene (Schicht 7). 
  + **Identifiziert (fortlaufend)** und **Identifiziert (abgeklungen)** — Diese deuten darauf hin, dass Shield Advanced ein Ereignis erkannt, aber bisher keine Maßnahmen ergriffen hat. **Identifiziert (abgeklungen)** bedeutet, dass der verdächtige Verkehr, den Shield erkannt hat, ohne Eingreifen gestoppt wurde. 
  + **Schadensbegrenzung im Gange** und **Abhilfe** — Diese Angaben weisen darauf hin, dass Shield Advanced ein Ereignis erkannt und entsprechende Maßnahmen ergriffen hat. **Mitigation** wird auch verwendet, wenn es sich bei der Zielressource um eine von Amazon CloudFront Distribution oder Amazon Route 53 gehostete Zone handelt, die über eigene automatische Inline-Mitigations verfügt.
+ **Angriffsvektoren** — DDo S-Angriffsvektoren wie TCP SYN-Floods und Shield Advanced-Erkennungsheuristiken wie Request Flood. Dies können Anzeichen für einen DDo S-Angriff sein. 
+ **Startzeit** — Datum und Uhrzeit, an dem der erste anomale Verkehrsdatenpunkt erkannt wurde. 
+ **Dauer oder Endzeit — Gibt die Zeit** an, die zwischen der Startzeit des Ereignisses und dem letzten beobachteten anomalen Datenpunkt verstrichen ist, den Shield Advanced beobachtet hat. Während ein Ereignis andauert, werden diese Werte weiter steigen.
+ **Schutz** — Benennt den Shield Advanced-Schutz, der mit der Ressource verknüpft ist, und stellt einen Link zu seiner Schutzseite bereit. Dieser ist auf der Seite des jeweiligen Ereignisses verfügbar.
+ **Automatische Abwehr der Anwendungsschicht DDo S** — Wird für den Schutz der Anwendungsebene verwendet, um anzugeben, ob die automatische Shield Advanced-Abwehr für die Anwendungsschicht DDo S für die Ressource aktiviert ist. Wenn sie aktiviert ist, bietet sie einen Link, über den Sie auf die Konfiguration zugreifen und sie verwalten können. Dies ist auf der Seite der einzelnen Veranstaltung verfügbar.
+ **Automatische Risikominderung auf Netzwerkebene** — Gibt an, ob für die Ressource eine automatische Abwehr auf Netzwerkebene erfolgt. Wenn eine Ressource über eine Komponente auf Netzwerkschicht verfügt, wird diese aktiviert. Diese Informationen sind auf der Seite der einzelnen Veranstaltung verfügbar.

Für Ressourcen, die häufig angegriffen werden, kann Shield nach dem Abklingen des übermäßigen Datenverkehrs Schutzmaßnahmen ergreifen, um weitere wiederkehrende Ereignisse zu verhindern. 

**Anmerkung**  
Sie können über den API-Vorgang auch auf Ereigniszusammenfassungen für geschützte Ressourcen zugreifen. AWS Shield [ListAttacks](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_ListAttacks.html)

# AWS Shield Advanced Veranstaltungsdetails anzeigen
<a name="ddos-event-details"></a>

Im unteren Bereich der Konsolenseite für das Ereignis finden Sie Einzelheiten zur Erkennung und Abwehr eines Ereignisses sowie zu den wichtigsten Mitwirkenden. Dieser Abschnitt kann eine Mischung aus legitimem und potenziell unerwünschtem Datenverkehr enthalten und kann sowohl Datenverkehr darstellen, der an Ihre geschützte Ressource weitergeleitet wurde, als auch Datenverkehr, der durch Shield-Schutzmaßnahmen blockiert wurde.
+ **Erkennung und Abwehr** — Bietet Informationen über das beobachtete Ereignis und alle getroffenen Gegenmaßnahmen. Informationen zur Abwehr von Ereignissen finden Sie unter. [Reagieren auf DDo S-Ereignisse in AWS](ddos-responding.md)
+ **Wichtigste Mitwirkende** — Kategorisiert den Traffic, der an der Veranstaltung beteiligt ist, und listet die wichtigsten Verkehrsquellen auf, die Shield für jede Kategorie identifiziert hat. Verwenden Sie bei Ereignissen auf Anwendungsebene die Informationen der wichtigsten Mitwirkenden, um sich einen allgemeinen Überblick über die Art eines Ereignisses zu verschaffen. Verwenden Sie jedoch die AWS WAF Protokolle für Ihre Sicherheitsentscheidungen. Weitere Informationen finden Sie in den folgenden Abschnitten.

Ihre Ereignisinformationen in der Shield Advanced-Konsole basieren auf Shield Advanced-Metriken. Informationen zu Shield Advanced-Metriken finden Sie unter [AWS Shield Advanced Metriken](shield-metrics.md) 

Risikominderungsmetriken für Amazon CloudFront - oder Amazon Route 53-Ressourcen sind nicht enthalten, da diese Services durch ein Abwehrsystem geschützt sind, das immer aktiviert ist und keine Abhilfemaßnahmen für einzelne Ressourcen erfordert. 

Die einzelnen Abschnitte variieren je nachdem, ob sich die Informationen auf ein Ereignis auf der Infrastrukturebene oder auf Anwendungsebene beziehen. 

**Topics**
+ [Ereignisdetails der Anwendungsebene (Schicht 7) in Shield Advanced anzeigen](ddos-event-details-application-layer.md)
+ [Ereignisdetails der Infrastrukturebene (Layer 3 oder 4) in Shield Advanced anzeigen](ddos-event-details-infrastructure-layer.md)

# Ereignisdetails der Anwendungsebene (Schicht 7) in Shield Advanced anzeigen
<a name="ddos-event-details-application-layer"></a>

Im unteren Bereich der Konsolenseite für das Ereignis finden Sie Einzelheiten zur Erkennung und Abwehr eines Ereignisses auf Anwendungsebene sowie zu den wichtigsten Mitwirkenden. Dieser Abschnitt kann eine Mischung aus legitimem und potenziell unerwünschtem Datenverkehr enthalten und kann sowohl Datenverkehr darstellen, der an Ihre geschützte Ressource weitergeleitet wurde, als auch Datenverkehr, der durch Shield Advanced-Mitigations blockiert wurde. 

Die Schadensbegrenzungsdetails beziehen sich auf alle Regeln in der Web-ACL, die mit der Ressource verknüpft sind, einschließlich Regeln, die speziell als Reaktion auf einen Angriff eingesetzt werden, und ratenbasierte Regeln, die in der Web-ACL definiert sind. Wenn Sie die automatische Abwehr auf Anwendungsebene DDo S für eine Anwendung aktivieren, enthalten die Abhilfemetriken auch Metriken für diese zusätzlichen Regeln. Informationen zu diesen Schutzmaßnahmen auf Anwendungsebene finden Sie unter. [Schutz der Anwendungsschicht (Schicht 7) mit AWS Shield Advanced und AWS WAF](ddos-app-layer-protections.md)

## Erkennung und Schadensbegrenzung
<a name="ddos-event-details-application-layer-detection-mitigation"></a>

Für ein Ereignis auf Anwendungsebene (Schicht 7) werden auf der Registerkarte **Erkennung und Schadensbegrenzung** Erkennungsmetriken angezeigt, die auf Informationen aus den AWS WAF Protokollen basieren. Die Metriken zur Schadensbegrenzung basieren auf AWS WAF Regeln in der zugehörigen Web-ACL, die so konfiguriert sind, dass unerwünschter Datenverkehr blockiert wird. 

Für CloudFront Amazon-Distributionen können Sie Shield Advanced so konfigurieren, dass automatische Abhilfemaßnahmen für Sie angewendet werden. Für alle Ressourcen auf Anwendungsebene können Sie Ihre eigenen Abwehrregeln in Ihrer Web-ACL definieren und das Shield Response Team (SRT) um Hilfe bitten. Weitere Informationen zu diesen Optionen finden Sie unter [Reagieren auf DDo S-Ereignisse in AWS](ddos-responding.md).

Der folgende Screenshot zeigt ein Beispiel für die Erkennungsmetriken für ein Ereignis auf Anwendungsebene, das nach einigen Stunden wieder abgeklungen ist. 

![\[Ein Diagramm mit Erkennungsmetriken zeigt die Erkennung von Flut an Anfragen von 11:30 Uhr bis zum Abklingen des Traffics um 16:00 Uhr.\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/shield-app-detection-metrics.png)


Event-Traffic, der nachlässt, bevor eine Schadensbegrenzungsregel wirksam wird, wird in den Risikometriken nicht berücksichtigt. Dies kann zu einem Unterschied zwischen dem in den Erkennungsdiagrammen angezeigten Webanforderungs-Traffic und den in den Risikominderungsdiagrammen angezeigten Zulassen und Blockierungs-Metriken führen. 

## Wichtigste Faktoren
<a name="ddos-event-details-application-layer-top-contributors"></a>

Auf der Registerkarte **Wichtigste Mitwirkende** für Ereignisse auf Anwendungsebene werden die fünf wichtigsten Mitwirkenden angezeigt, die Shield für das Ereignis identifiziert hat, basierend auf den abgerufenen AWS WAF Protokollen. Shield kategorisiert die Informationen der wichtigsten Mitwirkenden nach Dimensionen wie Quell-IP, Quellland und Ziel-URL.

**Anmerkung**  
Die genauesten Informationen über den Datenverkehr, der zu einem Ereignis auf Anwendungsebene beiträgt, finden Sie in den AWS WAF Protokollen. 

Verwenden Sie die Informationen der wichtigsten Mitwirkenden der Shield-Anwendungsebene nur, um sich einen allgemeinen Überblick über die Art eines Angriffs zu verschaffen, und stützen Sie Ihre Sicherheitsentscheidungen nicht darauf. Bei Ereignissen auf Anwendungsebene sind die AWS WAF Protokolle die beste Informationsquelle, um die Verursacher eines Angriffs zu verstehen und Ihre Abwehrstrategien zu entwickeln. 

Die Informationen der wichtigsten Mitwirkenden von Shield spiegeln nicht immer vollständig die Daten in den AWS WAF Protokollen wider. Bei der Aufnahme der Protokolle räumt Shield der Reduzierung der Auswirkungen auf die Systemleistung Vorrang vor dem Abrufen des vollständigen Datensatzes aus den Protokollen ein. Dies kann zu einem Verlust der Granularität der Daten führen, die Shield zur Analyse zur Verfügung stehen. In den meisten Fällen ist der Großteil der Informationen verfügbar, aber es ist möglich, dass die Daten der wichtigsten Mitwirkenden bei jedem Angriff bis zu einem gewissen Grad verzerrt werden. 

Der folgende Screenshot zeigt ein Beispiel für eine Registerkarte mit den **wichtigsten Mitwirkenden** für ein Ereignis auf Anwendungsebene. 

![\[Auf der Registerkarte mit den meisten Mitwirkenden für ein Ereignis auf Anwendungsebene werden die fünf wichtigsten Mitwirkenden für eine Reihe von Merkmalen von Webanfragen beschrieben. Auf dem Bildschirm werden die fünf wichtigsten Quell-IP-Adressen, die fünf wichtigsten Zieladressen URLs, die fünf wichtigsten Quellländer und die fünf wichtigsten Benutzeragenten angezeigt.\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/shield-app-event-top-contributors.png)


Die Informationen der Mitwirkenden basieren auf Anfragen sowohl für legitimen als auch für potenziell unerwünschten Datenverkehr. Bei Ereignissen mit größerem Volumen und bei Ereignissen, bei denen die Anforderungsquellen nicht weit verbreitet sind, ist die Wahrscheinlichkeit höher, dass die wichtigsten Mitwirkenden identifiziert werden können. Ein stark verteilter Angriff kann eine beliebige Anzahl von Quellen haben, was es schwierig macht, die Hauptverursacher des Angriffs zu identifizieren. Wenn Shield Advanced keine wesentlichen Mitwirkenden für eine bestimmte Kategorie identifiziert, werden die Daten als nicht verfügbar angezeigt. 

# Ereignisdetails der Infrastrukturebene (Layer 3 oder 4) in Shield Advanced anzeigen
<a name="ddos-event-details-infrastructure-layer"></a>

Im unteren Bereich der Konsolenseite für das Ereignis finden Sie Einzelheiten zur Erkennung und Abwehr eines Ereignisses auf Infrastrukturebene sowie zu den wichtigsten Mitwirkenden. Dieser Abschnitt kann eine Mischung aus legitimem und potenziell unerwünschtem Datenverkehr enthalten und kann sowohl Datenverkehr darstellen, der an Ihre geschützte Ressource weitergeleitet wurde, als auch Datenverkehr, der durch Shield-Schutzmaßnahmen blockiert wurde. 

## Erkennung und Abwehr
<a name="ddos-event-details-infrastructure-layer-detection-mitigation"></a>

Für ein Ereignis auf der Infrastrukturebene (Schicht 3 oder 4) werden auf der Registerkarte **Erkennung und Schadensbegrenzung** Erkennungsmetriken angezeigt, die auf Stichproben von Netzwerkströmen basieren, sowie Risikominderungsmetriken, die auf dem von den Minderungssystemen beobachteten Datenverkehr basieren. Risikominderungsmetriken sind eine genauere Messung des Datenverkehrs, der in Ihre Ressource fließt. 

Shield erstellt automatisch eine Abwehr für die geschützten Ressourcentypen Elastic IP (EIP), Classic Load Balancer (CLB), Application Load Balancer (ALB) und Standard Accelerator. AWS Global Accelerator Abhilfemetriken für EIP-Adressen und AWS Global Accelerator Standardbeschleuniger geben die Anzahl der übergebenen und verworfenen Pakete an. 

Der folgende Screenshot zeigt ein Beispiel für die Registerkarte **Erkennung und Schadensbegrenzung** für ein Ereignis auf Infrastrukturebene. 

![\[Die Erkennungs- und Schadensbegrenzungsdiagramme für ein Netzwerkereignis zeigen einen zunehmenden SYN-Flood- und Packet-Flood-Verkehr in den Erkennungsmetriken, was mit einer Zunahme von Abhilfemaßnahmen einhergeht, die den Verkehr einige Sekunden später verringern, in den Risikomitriken. Nach etwa dreißig Sekunden verstärkter Abhilfemaßnahmen hören die Verkehrsfluten auf.\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/shield-network-event-detection-mitigation.png)


Event-Traffic, der nachlässt, bevor Shield eine Schadensbegrenzung einleitet, wird in den Risikominderungsmetriken nicht berücksichtigt. Dies kann zu einem Unterschied zwischen dem in den Erkennungsdiagrammen angezeigten Verkehr und den Pass-and-Drop-Metriken in den Risikominderungsdiagrammen führen. 

## Wichtigste Faktoren
<a name="ddos-event-details-infrastructure-layer-top-contributors"></a>

Auf der Registerkarte mit den **wichtigsten Mitwirkenden** für Ereignisse auf Infrastrukturebene sind Metriken für bis zu 100 Hauptverursacher in verschiedenen Verkehrsdimensionen aufgeführt. Zu den Details gehören Eigenschaften der Netzwerkschicht für jede Dimension, bei der mindestens fünf signifikante Verkehrsquellen identifiziert werden konnten. Beispiele für Verkehrsquellen sind Quell-IP und Quell-ASN. 

Der folgende Screenshot zeigt ein Beispiel für eine Registerkarte mit den **wichtigsten Mitwirkenden** für ein Ereignis auf Infrastrukturebene. 

![\[Auf der Registerkarte mit den meisten Mitwirkenden für ein Netzwerkereignis werden die Kategorien des Datenverkehrs angezeigt, die am meisten zu dem Ereignis beigetragen haben. Zu den Kategorien gehören in diesem Fall Volumen für Protokoll, Volumen für Protokoll und Zielport, Volumen für Protokoll und Quell-ASN sowie Volumen für TCP-Flags.\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/images/shield-network-event-top-contributors.png)


Die Metriken der Mitwirkenden basieren auf Stichproben von Netzwerkströmen sowohl für legitimen als auch für potenziell unerwünschten Datenverkehr. Bei Ereignissen mit größerem Volumen und Ereignissen, bei denen die Datenverkehrsquellen nicht stark verteilt sind, ist die Wahrscheinlichkeit höher, dass die Hauptverursacher identifiziert werden können. Ein stark verteilter Angriff kann eine beliebige Anzahl von Quellen haben, was es schwierig macht, die Hauptverursacher des Angriffs zu identifizieren. Wenn Shield keine wesentlichen Mitwirkenden für eine bestimmte Metrik oder Kategorie identifiziert, werden die Daten als nicht verfügbar angezeigt. 

Bei einem Angriff auf die Infrastrukturschicht DDo S können Datenverkehrsquellen gefälscht oder widergespiegelt werden. Eine gefälschte Quelle wird vom Angreifer absichtlich gefälscht. Eine reflektierte Quelle ist die eigentliche Quelle des erkannten Datenverkehrs, aber sie ist nicht bereit, sich an dem Angriff zu beteiligen. Ein Angreifer könnte beispielsweise eine große, verstärkte Flut von Datenverkehr zu einem Ziel erzeugen, indem er den Angriff von Diensten im Internet ableitet, die normalerweise legitim sind. In diesem Fall sind die Quellinformationen möglicherweise gültig, obwohl sie nicht die eigentliche Quelle des Angriffs sind. Diese Faktoren können die Durchführbarkeit von Abhilfemaßnahmen einschränken, die Quellen auf der Grundlage von Paket-Headern blockieren.