Distributed Denial of Service (DDoS)-Angriffe haben das Ziel, Online-Dienste lahmzulegen, zu stören und sie für Nutzer unerreichbar zu machen. Dafür wird ein Netz aus räumlich verteilten Geräten genutzt, die das Zielsystem mit einer riesigen Zahl von Anfragen bombardieren, um Bandbreite und Rechenressourcen bis zum Ausfall zu beanspruchen. Diese Methode kann sehr wirkungsvoll sein, wenn Websites nicht geschützt sind. Gleichzeitig ist sie relativ kostengünstig. Obwohl es sich unter den Angriffsarten um eine der ältesten handelt, sind DDoS-Attacken auch heute noch eine ständige Gefahr. Häufig richten sie sich gegen bekannte oder stark genutzte Websites, Dienste oder kritische Infrastrukturen. Seit Jahresbeginn hat Cloudflare mehr als 14,5 Millionen DDoS-Angriffe abgewehrt, also durchschnittlich 2.200 pro Stunde. (Weitere Statistiken zu diesem Thema finden Sie in unserem DDoS-Bericht für das dritte Quartal 2024.)
Schaut man sich die Kennzahlen großer, in den letzten zehn Jahren abgewehrter Angriffe an, zeigt die Grafik dann einen kontinuierlichen Anstieg in einer exponentiellen und immer steileren Kurve an oder wird eher ein lineares Wachstum verzeichnet? Wir haben festgestellt, dass das Wachstum nicht linear, sondern exponentiell ist, wobei der Steigungsgrad von der betrachteten Kennzahl abhängt.
Warum ist diese Frage interessant? Ganz einfach. Die Antwort darauf liefert wertvolle Einblicke in die sich verändernden Strategien der Angreifer, die Raffinesse ihrer Tools und die Wirksamkeit der eingesetzten Abwehrmechanismen.
Eine Aufwärtskurve bei der Anzahl der Anfragen pro Sekunde deutet zum Beispiel darauf hin, dass die Angreifer eine Änderung vorgenommen haben, dank derer sie eine größere Zahl von Anfragen erzeugen können. Diese Erkenntnis spornt uns dazu an, weiter nachzuforschen und uns andere Daten anzusehen, die Aufschluss über neue Entwicklungen geben können.
So haben wir uns beispielsweise den Ursprung des Traffics angeschaut und dabei eine Verschiebung des Adressraums festgestellt, und zwar vom Nutzer/Unternehmen (was auf IoT hindeutet) zu Cloud-Anbietern (was auf VM hindeutet). Eine weitere von uns beobachtete Verschiebung betrifft die Art und die Kapazität der von Angreifern verwendeten Geräte.
Ein weiteres Beispiel ist der HTTP/2 Rapid Reset-Angriff. Hier wurde eine Rekordzahl von Anfragen pro Sekunde verzeichnet, was auf eine neuartige Angriffstechnik schließen ließ. Das hat uns dazu veranlasst, schnell Nachforschungen anzustellen und unsere Verteidigungsmaßnahmen anzupassen.
Abgrenzung einzelner Angriffe
Es ist überraschend schwierig, einzelne Angriffe innerhalb eines bestimmten Zeitraums voneinander abzugrenzen. So kann eine Angriffsanalyse auf verschiedenen Schichten des OSI-Modells widersprüchliche Ergebnisse liefern. Das Angriffsprofil kann je nach der Schicht, für die es ermittelt wurde, unterschiedliche Rückschlüsse auf ein und dieselbe Attacke zulassen. Die Kombination einiger Variablen ermöglicht es uns aber, einen „Fingerabdruck“ für die Attacke zu erstellen und eine Reihe von Ereignissen zu gruppieren. Das verrät uns, das sie Teil desselben Angriffs sind. Hier sind einige Beispiele:
Wurden bei diesen Ereignissen dieselben Angriffsvektoren benutzt?
Richten sich alle Angriffe gegen das gleiche Ziel oder die gleichen Ziele?
Haben die Nutzdaten der Ereignisse die gleiche Signatur? (Daten-Payloads oder Anfragetypen, die für bestimmte Arten von Angriffen oder Botnetzen wie Mirai charakteristisch sind und unter Umständen unterschiedliche HTTP-Anfrage-Header oder Paketstrukturen aufweisen können.)
Umfang von DDoS-Angriffen
Bevor wir uns mit einer Wachstumsanalyse der DDoS-Angriffe der letzten zehn Jahre befassen, treten wir kurz einen Schritt zurück und werfen einen Blick auf die Kennzahlen, die normalerweise zu ihrer Messung verwendet werden: Anfragen pro Sekunde, Pakete pro Sekunde und Bits pro Sekunde (bit/s). Mit jeder dieser Kennzahlen wird ein bestimmter Aspekt des Ausmaßes und der Auswirkungen eines Angriffs erfasst.
Anfragen pro Sekunde: Misst die Anzahl der HTTP-Anfragen oder ähnlicher Protokoll-Anfragen pro Sekunde. Diese Metrik ist besonders relevant für Angriffe auf Anwendungsschicht (Layer 7), bei denen eine bestimmte Anwendung oder ein bestimmter Dienst durch bei der Anfragenbearbeitung überlastet werden soll. Sie ist hilfreich für die Messung von Angriffen auf Webserver, API oder Anwendungen, da sie nicht nur die Menge der übertragenen Rohdaten, sondern auch die Zahl der Anfragen verrät.
Pakete pro Sekunde: Stellt die Zahl der einzelnen Pakete dar, die pro Sekunde an das Ziel gesendet werden, unabhängig von ihrer Größe. Diese Metrik ist entscheidend für Angriffe auf der Netzwerkschicht (Layer 3 und 4), bei denen es darum geht, die Netzwerkinfrastruktur durch Überschreiten ihrer Paketverarbeitungskapazität außer Gefecht zu setzen. Solche Messungen sind bei volumetrischen Angriffen aufschlussreich, weil damit die Paketmenge ermittelt werden kann, die Router, Switches oder Firewalls in ihrer Funktionsweise beeinträchtigen.
Bits pro Sekunde: Damit wird die Gesamtzahl der übertragenen Daten pro Sekunde gemessen. Dies ist besonders nützlich bei der Bewertung von Angriffen auf Netzwerkschicht, die darauf abzielen, die Bandbreite des Ziels oder seines Upstream-Providers möglichst vollständig auszuschöpfen. Diese Kennzahl wird häufig zur Messung von Layer-3- und Layer-4-Angriffen wie UDP-Floods verwendet, bei denen mit der Attacke die verfügbare Netzwerkbandbreite beansprucht werden soll. Man hebt sie häufig bei DDoS-Angriffen hervor, weil hohe bit/s-Werte (die oft in Gigabit oder Terabit angegeben werden) die vollständige Beanspruchung der Bandbreite signalisieren, um die es bei großen DDoS-Kampagnen häufig geht.
Entwicklung des Umfangs von DDoS-Angriffen in den letzten zehn Jahren
Wie hat sich die Größe von DDoS-Angriffen in den letzten zehn Jahren verändert? DDoS-Attacken sind in diesem Zeitraum umfangreicher und mächtiger geworden und ihr Schadenspotenzial wächst von Jahr zu Jahr.
Schaut man sich die Kennzahlen großer, in den letzten zehn Jahren verzeichneter Angriffe an, zeigt sich dann ein kontinuierlicher und immer steilerer Anstieg in einer exponentiellen Kurve oder ist eher ein lineares Wachstum zu beobachten? Wir haben eine exponentielle Steigerung festgestellt. Schauen wir uns an, wie wir zu dieser Schlussfolgerung gelangt sind.
Bei unserer Analyse haben wir die von Google zwischen 2010 und 2022 verzeichneten Angriffe (Abbildung 1) als Referenz verwendet und die Zahlen dann um die von uns im Jahr 2023 und 2024 registrierten Angriffe (Abbildung 2) ergänzt.
Anfang der 2010er Jahre wurden die größten Angriffe im Gigabit pro Sekunde (Gbit/s)-Bereich gemessen. Heutzutage dreht sich alles um Terabit pro Sekunde (Tbit/s). Wie wir sehen werden, ist inzwischen auch die Zahl der Anfragen pro Sekunde und der Bits pro Sekunde deutlich höher.
Die in Abbildung 1 dargestellten Daten von Google zeigen für die zwischen 2010 und 2022 beobachteten DDoS-Angriffe einen steigenden Trend bei den Anfragen pro Sekunde. Der Spitzenwert von 6 Millionen Anfragen pro Sekunde wurde im Jahr 2020 registriert. Dies macht die sprunghafte Steigerung des Angriffsvolumens in diesem Jahrzehnt deutlich.
Abbildung 1. Größte bekannte DDoS-Angriffe, 2010–2022. (Quelle: Google)
Abbildung 2 (unten) zeigt die Trends für die verschiedenen Kennzahlen. Die starke Steigerung, die in den Google-Statistiken zu sehen ist, spiegelt sich auch in den Daten von Cloudflare für abgewehrte DDoS-Großangriffe in den Jahren 2023 und 2024 wider, die im September 2024 einen Umfang von 201 Millionen Anfragen pro Sekunde (grüne Linie) erreicht haben. Die Anzahl der Pakete pro Sekunde (blaue Linie) weist ein leichtes exponentielles Wachstum im betrachteten Zeitraum auf. Sie steigt von 230 Millionen Paketen pro Sekunde im Jahr 2015 auf 2.100 Millionen Pakete pro Sekunde im Jahr 2024. Dies legt nahe, dass Angreifer heute einen höheren Durchsatz erzielen. Bei den Bits pro Sekunde (bit/s) liegt ebenfalls ein exponentieller Trend vor, wobei sich eine steilere Aufwärtskurve (rote Linie) zeigt: von einem Angriff mit 309 Gbit/s im Jahr 2013 zu einer Attacke mit 5,6 Tbit/s (5.600 Gbit/s) im Jahr 2024.
In den letzten zehn Jahren ist bei den Angriffen, aus denen sich diese Kennzahlen speisen, ein beträchtliches Wachstum zu beobachten:
Die Zahl der Bits pro Sekunde hat sich zwischen 2013 und 2024 um das 20-Fache erhöht
Die Zahl der Pakete pro Sekunde ist zwischen 2015 und 2024 um das Zehnfache gestiegen
Die Zahl der Anfragen pro Sekunde hat sich zwischen 2014 und 2024 um das 70-Fache gesteigert
Abbildung 2. Die Daten aus Abbildung 1 wurden um große, durch Cloudflare in den Jahren 2023 und 2024 verzeichnete Angriffe erweitert.
Die in Tabelle 1 aufgeführten Blogbeiträge beleuchten einige der Angriffe, die wir zwischen 2021 und 2024 beobachtet haben.
Monat | Angriffsgröße | Blog-Beitrag |
August 2021 | 17,2 Millionen Anfragen pro Sekunde | 17,2 Mio. Anfragen pro Sekunde: Cloudflare stoppt den größten jemals vermeldeten DDoS-Angriff |
April 2022 | 15 Millionen Anfragen pro Sekunde | Cloudflare blockiert HTTPS-DDoS-Angriff mit 15 Millionen Anfragen pro Sekunde |
JUNI 2022 | 26 Mio. rps | Cloudflare wehrt 26 Millionen Anfragen pro Sekunde starken DDoS-Angriff ab |
Februar 2023 | 71 Millionen Anfragen pro Sekunde | Cloudflare wehrt einen Rekord-DDoS-Angriff mit 71 Mio. Anfragen pro Sekunde ab |
September 2024 | 3,8 Tbit/s | Cloudflare wehrt größten DDoS-Angriff der Welt mit 3,8 Tbit/s automatisch ab |
Oktober 2024 | 4,2 Tbit/s | |
Oktober 2024 | 5,6 Tbit/s |
Tabelle 1. Bedeutende DDoS-Angriffe, die von Cloudflare zwischen 2021 und 2024 registriert wurden.
Eine Übersicht über andere ausgewählte bedeutende DDoS-Angriffe mit hohem Datenvolumen, die in den letzten zehn Jahren stattgefunden haben, darunter der Memcached-Missbrauch im Jahr 2018 und die HTTP/2 Rapid Reset-Angriffe im Jahr 2023, finden Sie im Learning Center von Cloudflare.
Angriffsdauer als Kennzahl
Die Dauer eines Angriffs ist kein nützlicher Maßstab zur Bestimmung seiner Aggressivität: Wie lange einzelne Angriffe oder Kampagnen tatsächlich dauern, ist schwer zu sagen, weil diese möglicherweise zwischendurch unterbrochen werden, eine Vielzahl von Angriffsvektoren gleichzeitig genutzt werden oder Abwehrmaßnahmen eventuell erst nach und nach zum Einsatz kommen.
Bei den Angriffsmustern kann es starke Abweichungen geben: In einigen Fällen kommt es zu einem einmaligen starken Anstieg, in anderen werden mehrere Spitzen oder eine kontinuierliche Belastung über einen bestimmten Zeitraum registriert. Hinzu kommen andere sich verändernde Merkmale.
Art der für Angriffe verwendeten Geräte
DDoS-Angriffe verlagern sich zunehmend von IoT-basierten Botnets zu leistungsfähigeren VM-basierten Netzen. Diese Veränderung ist in erster Linie auf die höhere Rechenleistung und die gestiegene Durchsatzkapazität von in der Cloud gehosteten virtuellen Maschinen (VM) zurückzuführen. Diese ermöglichen es Angreifern, massive Angriffe mit weitaus weniger Geräten durchzuführen.
Begünstigt wird dieser Trend durch mehrere Faktoren. VM-Botnetze sind leichter einzurichten als IoT-basierte: Da Angreifer sie anonym in der Infrastruktur von Cloud-Anbietern einsetzen können, indem sie gestohlene Zahlungsinformationen aus Datenlecks oder Magecart-Angriffen verwenden, ist eine weitreichende Schadsoftware-Infektion im Vorfeld nicht unbedingt erforderlich.
Dieser Trend weist auf die Weiterentwicklung von DDoS-Taktiken hin. Die Angreifer nutzen sowohl die Rechenleistung von VM als auch den anonymen Zugang zu Cloud-Ressourcen aus. So können kleinere, effizientere Botnetze Großangriffe ohne den Aufwand durchführen, der mit der Infektion und Verwaltung einer gewaltigen Zahl von IoT-Geräten verbunden ist.
Wie schützt Cloudflare vor DDoS-Angriffen?
Der Connectivity Cloud von Cloudflare, die auf unserem weitreichenden globalen Anycast-Netzwerk aufbaut, kommt dank ihres Einsatzes von automatischer Erkennung, Traffic-Verteilung und schneller Reaktionsfunktionen eine entscheidende Rolle bei der Abwehr von DDoS-Angriffen zu. Sie verstärkt den DDoS-Schutz auf folgende Weise:
Automatische Angriffserkennung und -abwehr: Der DDoS-Schutz von Cloudflare setzt stark auf Automatisierung und nutzt Machine Learning-Algorithmen zur Ermittlung verdächtiger Traffic-Muster in Echtzeit. Durch die Automatisierung des Erkennungsprozesses kann Cloudflare DDoS-Angriffe ohne manuelles Eingreifen schnell erfassen und blockieren. Dies ist entscheidend bei volumetrischen Attacken, mit denen der Mensch allein überfordert wäre.
Globale Traffic-Verteilung mit IP-Anycast: Das Cloudflare-Netzwerk umfasst mehr als 330 Städte weltweit, sodass der DDoS-Traffic auf verschiedene Rechenzentren verteilt werden kann. IP-Anycast gibt uns die Möglichkeit, den Datenverkehr über dieses globale Netzwerk zu verteilen. Dadurch lassen sich Großangriffe leichter bekämpfen und abwehren, weil der Angriffs-Traffic nicht zu einem einzigen Punkt geleitet wird, was die Belastung der einzelnen Server und Netzwerke reduziert.
Mehrstufige Verteidigung: Die Connectivity Cloud von Cloudflare bietet Schutz für mehrere Ebenen, einschließlich der Netzwerk- (Layer 3), Transport- (Layer 4) und Anwendungsschicht (Layer 7). Dieser mehrschichtige Ansatz ermöglicht maßgeschneiderte Verteidigungsstrategien in Abhängigkeit von der Angriffsart und stellt sicher, dass selbst komplexe, auf mehreren Ebenen stattfindende Angriffe erfolgreich bekämpft werden können. In unserer Dokumentation zu DDoS-Schutz erfahren Sie mehr über die Abwehr von DDoS-Angriffen auf Schicht 3, 4 und 7.
DDoS-Abwehr ohne Volumenbegrenzung: Cloudflare ist seit 2017 Vorreiter bei einem Ansatz zur Gewährleistung der Sicherheit im Internet durch DDoS-Schutz ohne Volumenbegrenzung. Dies bedeutet, dass unsere Kunden geschützt sind, ohne sich während Angriffen Gedanken über Bandbreite oder Kostenbeschränkungen machen zu müssen. So können Unternehmen unabhängig von ihrer Größe und ihrem Budget von einem soliden DDoS-Schutz profitieren.
Dank der dezentralen Cloud-Infrastruktur und der fortschrittlichen Technologie von Cloudflare lassen sich DDoS-Angriffe auf skalierbare Weise schnell erkennen, bekämpfen und abwehren. Auf diese Weise können wir Ausfälle vermeiden und die Zuverlässigkeit der betroffenen Dienste gewährleisten. Gegenüber herkömmlichen Optionen bieten wir damit eine robuste Lösung zur Bewältigung der in Intensität und Häufigkeit zunehmenden DDoS-Angriffe.
Jedes Unternehmen, gleich welcher Größe, muss sich vor DDoS-Angriffen schützen. Hinter diesen Attacken stecken zwar Menschen, ausgeführt werden sie aber von Bots. Um sich erfolgreich gegen diese Maschinen zur Wehr zu setzen, braucht man automatisch arbeitende Tools. Die Erkennung und Abwehr in Echtzeit sollte so weit wie möglich automatisiert werden. Denn verlässt man sich bei der Verteidigung allein auf menschliches Eingreifen, ist man im Nachteil, weil sich die Angreifer auf neue Hindernisse einstellen und unter anderem Angriffsvektoren, Traffic-Verhalten und Payload-Signaturen anpassen können. Dadurch entstehenden unvorhergesehenen Szenarien, die manche manuellen Konfigurationen unbrauchbar machen. Die automatisierten Systeme von Cloudflare identifizieren und blockieren kontinuierlich DDoS-Angriffe im Auftrag unserer Kunden und ermöglichen so einen maßgeschneiderten Schutz, der den individuellen Bedürfnissen entspricht.
Wir haben uns zum Ziel gesetzt, das Internet besser zu machen, und dazu gehört auch die Gewährleistung der Resilienz gegenüber DDoS-Bedrohungen.
In unserer öffentlich zugänglichen technischen Dokumentation erfahren Sie mehr über den DDoS-Schutz von Cloudflare.