Willkommen zu unserem DDoS-Bericht für das zweite Quartal 2022. Darin beschreiben wir Trends hinsichtlich der DDoS-Bedrohungslandschaft, die sich im globalen Cloudflare-Netzwerk beobachten ließen, und die von uns daraus gezogenen Schlüsse. Eine interaktive Version dieses Berichts ist auch bei Radar verfügbar.
Im zweiten Quartal haben wir einige der größten Angriffen aller Zeiten registriert, darunter eine HTTPS-DDoS-Attacke mit 26 Millionen Anfragen pro Sekunde, die von Cloudflare automatisch erkannt und abgewehrt wurde. Neben fortgesetzten Angriffen auf die Ukraine und Russland hat sich zudem eine neue Ransom-DDoS-Angriffskampagne entwickelt.
Die wichtigsten Erkenntnisse auf einen Blick
Das Internet in Russland und der Ukraine
- Der Krieg wird nicht nur physisch, sondern auch in der digitalen Welt ausgefochten. Dort zielen die Angriffe darauf ab, die Verbreitung von Informationen zu verhindern.
- In der Ukraine waren im zweiten Quartal Rundfunk- und Medienunternehmen das häufigste Ziel von DDoS-Angriffen. Tatsächlich sind die fünf am stärksten betroffenen Branchen alle den Bereichen Online-/Internetmedien, Verlagswesen und Rundfunk zuzurechnen.
- Demgegenüber sind in Russland die Online-Medien unter den Angriffszielen auf den dritten Platz zurückgefallen. Spitzenreiter war das Segment Banken, Finanzdienstleistungen und Versicherungen (Banking, Financial Services and Insurance – BFSI). Fast 45 % aller DDoS-Angriffe auf Anwendungsschicht richteten sich gegen diese Sparte. Am zweithäufigsten wurden in Russland Unternehmen im Bereich Kryptowährungen attackiert.
Erfahren Sie mehr darüber, was Cloudflare unternimmt, um das offene Internet in Russland aufrechtzuerhalten und Angriffe zu verhindern.
Ransom-DDoS-Angriff
- Es war eine neue Welle von Ransom DDoS-Angriffen durch Akteure zu verzeichnen, die nach eigenen Angaben der „Fancy Lazarus“-Gruppe angehören.
- Im Juni 2022 erreichten die Ransom-Angriffe den bisherigen Höchststand des Jahres: Jeder fünfte unter den Befragten, der eine DDoS-Attacke erlebt hat, gab an, einem Ransom-DDoS-Angriff oder ähnlich gearteten Bedrohungen ausgesetzt gewesen zu sein.
- Insgesamt stieg der Anteil der Ransomware-DDoS-Angriffe vom ersten auf das zweite Quartal um 11 %.
DDoS-Angriffe auf Anwendungsschicht
- Im Jahresvergleich erhöhten sich die DDoS-Angriffe auf Anwendungsschicht zwischen April und Juni 2022 um 72 %.
- Am häufigsten waren Unternehmen in den USA betroffen, gefolgt von Zypern, Hongkong und China. Die Attacken auf Firmen in Zypern nahmen im Vergleich zum Vorjahreszeitraum um 166 % zu.
- Im Branchenvergleich stand die Luft- und Raumfahrtindustrie im zweiten Quartal am stärksten im Fokus – gefolgt von der Internetbranche, dem BFSI-Sektor und dem Glücksspielsegment.
DDoS-Angriffe auf Netzwerkschicht
- Die DDoS-Angriffe auf Netzwerkschicht erhöhten sich im zweiten Quartal 2022 gegenüber dem Vorjahr um 109 %. Gemessen an den vorangegangenen drei Monaten legten Attacken mit 100 Gbit/s und mehr um 8 % und Angriffe mit einer Dauer von mehr als drei Stunden um 12 % zu.
- Am stärksten unter Beschuss standen die Telekommunikations-, Glücksspiel-, Informationstechnologie- und Dienstleistungsbranche.
- Unternehmen in den USA waren am häufigsten betroffen, gefolgt von Firmen in China, Singapur und Deutschland.
Dieser Bericht beruht auf DDoS-Angriffen, die von den Schutzsystemen von Cloudflare automatisch erkannt und abgewehrt wurden. Wie dabei genau vorgegangen wurde, erfahren Sie in diesem vertiefenden Blog-Beitrag.
Wie wir DDoS-Angriffe messen, die in unserem Netzwerk registriert werden
Um Angriffstrends zu analysieren, berechnen wir die „DDoS-Aktivitätsrate“, die dem prozentualen Anteil des Angriffs-Traffics am gesamten Datenverkehr (Angriffs-Traffic + regulärer Traffic) in unserem globalen Netzwerk oder an einem konkreten Standort oder in einer bestimmten Kategorie entspricht. Wir messen die Prozentsätze, um eine statistische Normalisierung der Datensätze vorzunehmen und Verzerrungen zu vermeiden, die in den absoluten Zahlen auftreten, z. B. durch ein Cloudflare-Rechenzentrum, das insgesamt mehr Traffic und daher wahrscheinlich auch mehr Angriffe verzeichnet.
Ransom-Angriffe
Unsere Systeme analysieren ständig den Datenverkehr und wenden automatisch Schutzmaßnahmen an, wenn DDoS-Angriffe entdeckt werden. Jeder Kunde, der eine solche Attacke erlebt hat, wird zur Teilnahme an einer automatischen Umfrage aufgefordert. Diese hilft uns dabei, die Art des Angriffs und den Erfolg der Abwehrmaßnahmen besser einzuschätzen.
Seit über zwei Jahren befragt Cloudflare angegriffene Kunden danach, ob ihnen mit einem DDoS-Angriff gedroht wurde oder ihnen in Aussicht gestellt wurde, dass sie einen solchen durch Zahlung eines Lösegelds abwenden bzw. beenden können.
Die Anzahl der Befragten, die im Berichtszeitraum entsprechende Drohungen oder Lösegeldforderungen meldeten, steigerte sich um jeweils 11 % im Quartals- und Jahresvergleich. Im zweiten Jahresviertel haben wir Ransomware-DDoS-Angriffe von Akteuren abgewehrt, die behaupten, der APT (Advanced Persistent Threat)-Gruppe „Fancy Lazarus“ anzugehören. Die jüngste Kampagne konzentriert sich auf Finanzinstitute und Unternehmen im Bereich Kryptowährungen.
Im Juni gab unter den Befragten jeder fünfte an, einen Ransom-DDoS-Angriff erlebt oder eine entsprechende Drohung erhalten zu haben. Dies ist der höchste Wert seit Dezember 2021.
DDoS-Angriffe auf Anwendungsschicht
DDoS-Angriffe auf Anwendungsschicht – genauer gesagt HTTP-DDoS-Attacken – sind normalerweise Versuche, einen Webserver zu stören, sodass er keine legitimen Nutzer-Anfragen mehr verarbeiten kann: Wenn ein Server eine Flut von Anfragen erhält und nicht alle bearbeiten kann, verwirft er legitime Anfragen und stürzt in manchen Fällen sogar ab. Für die Nutzer hat das eine schlechtere Performance oder einen Ausfall zur Folge.
DDoS-Angriffe auf Anwendungsschicht aufgeschlüsselt nach Monat
Im Jahresvergleich erhöhten sich die DDoS-Angriffe auf Anwendungsschicht zwischen April und Juni 2022 um 72 %.
Gemessen an den vorangegangenen drei Monaten ergab sich dagegen ein Rückgang um 5 %. Die höchste Angriffsaktivität des zweiten Quartals wurde im Mai registriert, denn in diesem Monat fanden fast 41 % aller DDoS-Attacken auf Anwendungsschicht statt, während die wenigsten Angriffe im Juni erfolgten (28 %).
DDoS-Angriffe auf Anwendungsschicht aufgeschlüsselt nach Branche
Die Angriffe auf die Luft- und Raumfahrtindustrie sind gegenüber dem Vorquartal um 493 % gestiegen.
Die Branche war im Berichtszeitraum Spitzenreiter bei DDoS-Angriffen auf Anwendungsschicht. Dahinter folgten der Internetsektor, das Segment BFSI und an vierter Stelle die Glücksspielindustrie.
Der Cyberspace in Russland und der Ukraine
In der Ukraine stehen Medien- und Verlagsunternehmen am stärksten im Fadenkreuz.
Der Krieg tobt dort nicht nur am Boden, in der Luft und auf dem Wasser, sondern auch im Cyberspace. Akteure, die es auf ukrainische Firmen abgesehen haben, scheinen zu versuchen, Informationen zu unterdrücken. Die fünf am häufigsten angegriffenen ukrainischen Branchen stehen alle mit Rundfunk, Internet, Online-Medien und dem Verlagswesen in Verbindung. Auf diese Bereiche entfallen fast 80 % aller DDoS-Attackenn auf die Ukraine.
Was die andere Kriegspartei betrifft, stand in Russland der Bereich BFSI am stärksten unter digitalem Beschuss, denn fast 45 % aller DDoS-Angriffe richteten sich gegen diesen Sektor. Das zweithäufigste Angriffsziel war das Segment Kryptowährungen, gefolgt von Online-Medien.
Auf beiden Seiten ist zu beobachten, dass die Angriffe in hohem Maße dezentral sind, was auf den Einsatz global verteilter Botnetze hindeutet.
DDoS-Angriffe auf Anwendungsschicht aufgeschlüsselt nach Ursprungsland
Die Attacken aus China sind im Zeitraum April bis Juni 2022 um 78 % gesunken, während von den Vereinigten Staaten ausgehende Angriffe um 43 % abgenommen haben.
Um die Herkunft der HTTP-Attacken zu ermitteln, nutzen wir die Geolokalisierungsdaten der Ursprungs-IP-Adresse des Clients, von dem die für den Angriff eingesetzten HTTP-Anfragen versandt wurden. Anders als bei Angriffen auf Netzwerkschicht können Ursprungs-IP-Adressen bei HTTP-Angriffen nicht gefälscht werden. Entfällt ein hoher Anteil der DDoS-Aktivität auf ein bestimmtes Land, heißt das nicht zwangsläufig, dass die Angriffe tatsächlich alle von diesem Land ausgehen. Vielmehr deutet dies auf den Einsatz von Botnetzen hin, die aus diesem Staat heraus agieren bzw. dort betrieben werden.
Die USA waren das zweite Quartal in Folge die größte Quelle von HTTP-DDoS-Angriffen. Es folgen China auf Rang zwei sowie Indien und Deutschland auf dem dritten und vierten Platz. Obwohl die Vereinigten Staaten weiterhin das Ranking anführen, gingen die US-amerikanischen Angriffe im Quartalsvergleich um 48 % zurück. Ein Zuwachs wurde dagegen bei den Attacken aus anderen Regionen verbucht, etwa aus Indien (+87 %), Deutschland (+33 %) und Brasilien (+67 %) verbucht.
DDoS-Angriffe auf Anwendungsschicht aufgeschlüsselt nach Zielland
Um herauszufinden, auf welche Länder die meisten HTTP-DDoS-Angriffe abzielen, haben wir die Attacken nach den Ländern der Rechnungsadressen unserer Kunden aufgeschlüsselt und ihren prozentualen Anteil an allen DDoS-Angriffen dargestellt.
HTTP-DDoS-Angriffe auf Unternehmen mit Sitz in den USA nahmen im Quartalsvergleich um 67 % zu und brachten die Vereinigten Staaten wieder auf den ersten Platz als Hauptziel von DDoS-Angriffen auf Anwendungsschicht. Die Attacken auf chinesische Firmen sind im Quartalsvergleich um 80 % gesunken, sodass die Volksrepublik vom ersten auf den vierten Platz zurückgefallen ist. Die Angriffe auf Zypern haben sich hingegen um 167 % erhöht, was dem Land im zweiten Quartal Rang zwei bescherte. Es folgen Hongkong, China und die Niederlande.
DDoS-Angriffe auf Netzwerkschicht
Bei Angriffen auf Anwendungsschicht (Layer 7 im OSI-Modell) sind die Dienste betroffen, auf die Endnutzer zugreifen wollen (in unserem Fall HTTP/S). Demgegenüber zielen Attacken auf Netzwerkschicht auf eine Überlastung der Netzwerkinfrastruktur (wie Router und Server innerhalb des Netzwerkpfads) und der Internetverbindung selbst ab.
DDoS-Angriffe auf Netzwerkschicht aufgeschlüsselt nach Monat
Im zweiten Quartal nahmen DDoS-Angriffe auf Netzwerkschicht um 109 % im Jahresvergleich zu. Volumetrische Angriffe von 100 Gbit/s und mehr stiegen gemessen am ersten Jahresviertel 2022 um 8 %.
Die Gesamtzahl der DDoS-Angriffe auf Netzwerkschicht erhöhte sich um 109 % im Jahres- und 15 % im Quartalsvergleich. Der April war der ereignisreichste Monat des Quartals, denn in diesem Zeitraum fanden fast 36 % der Angriffe statt.
DDoS-Angriffe auf Netzwerkschicht aufgeschlüsselt nach Branche
Im zweiten Jahresviertel 2022 wurden 66 % mehr Angriffe auf Telekommunikationsunternehmen verzeichnet als im ersten.
Zum zweiten Mal in Folge war die Telekommunikationsbranche das beliebteste Ziel von DDoS-Angriffen auf Netzwerkschicht. Mehr noch: Die Angriffe auf Telekommunikationsunternehmen stiegen um 66 % im Vergleich zum Vorquartal. Die Glücksspielindustrie belegte den zweiten Platz, gefolgt von Firmen aus dem Bereich Informationstechnologie und Dienstleistungen.
DDoS-Angriffe auf Netzwerkschicht aufgeschlüsselt nach Zielland
Die Angriffe auf US-Netzwerke stiegen im Quartalsvergleich um 95 %.
Im Zeitraum April bis Juni waren erneut die die Vereinigten Staaten das Land, das am meisten angegriffen wurde. Darauf folgten China, Singapur und Deutschland.
DDoS-Angriffe auf der Netzwerkschicht aufgeschlüsselt nach Land, aus dem der Traffic eingeht
Im Berichtszeitraum waren fast ein Drittel des von Cloudflare in Palästina und ein Viertel des in Aserbaidschan beobachteten Datenverkehrs Teil eines DDoS-Angriffs auf Netzwerkschicht.
Wenn wir versuchen zu verstehen, wo DDoS-Angriffe auf Netzwerkschicht ihren Ursprung haben, können wir nicht dieselbe Methode anwenden wie bei der Analyse von Angriffen auf Anwendungsschicht. Um einen DDoS-Angriff auf Anwendungsschicht zu starten, müssen zur Herstellung einer HTTP/S-Verbindung erfolgreiche Handshakes zwischen dem Client und dem Server stattfinden. Dies ist nur möglich, wenn die Angreifer ihre Ursprungs-IP-Adresse nicht fälschen. Der Angreifer kann seine Identität zwar unter anderem mit Botnets und Proxys verschleiern, aber die Ursprungs-IP-Adresse des angreifenden Clients bildet die Angriffsquelle von DDoS-Angriffen auf Anwendungsschicht in ausreichendem Maße ab.
Andererseits ist für DDoS-Angriffe auf Netzwerkschicht in den meisten Fällen kein Handshake erforderlich. Angreifer können die Usprungs-IP-Adresse fälschen, um die Herkunft des Angriffs zu verschleiern und Zufälligkeit in die Angriffseigenschaften zu bringen. Dies kann es für einfache DDoS-Schutzsysteme schwieriger machen, die Attacke zu blockieren. Würden wir also das Herkunftsland aus einer gefälschten Ursprungs-IP ableiten, kämen wir zu einem falschen Ergebnis.
Aus diesem Grund haben wir bei der Analyse der Quellen von DDoS-Angriffen auf Netzwerkschicht den Datenverkehr nicht nach den (potenziell) gefälschten Usprungs-IPs aufgeschlüsselt, sondern nach den Standorten der Cloudflare-Rechenzentren, bei denen der Datenverkehr eingegangen ist. Da wir über Rechenzentren in über 270 Städten auf der ganzen Welt verfügen, können wir in unserem Bericht eine große geografische Genauigkeit erreichen. Doch selbst diese Methode ist nicht zu 100 % exakt, da der Datenverkehr aus diversen Gründen (von Kosteneinsparungen bis hin zum Überlastungs- und Ausfallmanagement) über verschiedene Internetdienstanbieter und Länder umgeleitet werden kann.
Palästina steigt als Cloudflare-Standort mit dem höchsten Prozentsatz an DDoS-Angriffen auf Netzwerkschicht vom zweiten auf den ersten Platz auf. Dahinter folgen Aserbaidschan, Südkorea und Angola.
Sie möchten sich alle Regionen und Länder ansehen? Benutzen Sie hierzu unsere interaktive Karte.
Angriffsvektoren
DNS-Attacken haben im zweiten Quartal zugenommen und sind zum zweithäufigsten Angriffsvektor aufgestiegen.
Ein Angriffsvektor bezeichnet die für einen DDoS-Angriff eingesetzte Methode, wobei als Kriterien unter anderem das IP-Protokoll, Paketattribute wie TCP-Flags und die Flooding-Methode herangezogen werden.
Im zweiten Quartal handelte es sich bei 53 % aller Angriffe auf Netzwerkschicht um SYN-Floods. Diese sind damit nach wie vor der beliebteste Angriffsvektor. Sie missbrauchen die erste Verbindungsanfrage zur Durchführung des zustandsabhängigen TCP-Handshake. Während dieser ersten Verbindungsanfrage verfügen Server noch über keinen Kontext bezüglich der TCP-Verbindung, da diese neu ist. Ohne den richtigen Schutz kann es ihnen daher schwer fallen, eine Flut von ersten Verbindungsanfragen abzuwehren. Dies macht es dem Angreifer leichter, die Ressourcen eines ungeschützten Servers voll zu beanspruchen.
Hinter den SYN-Floods folgen Angriffe auf die DNS-Infrastruktur, RST-Floods, die wiederum den TCP-Verbindungsfluss missbrauchen, und generische Angriffe über UDP.
Neue Bedrohungen
Angriffe mittels CHARGEN, Ubiquiti und Memcached gehörten im zweiten Quartal zu den wichtigsten neuen Bedrohungen.
Die Identifizierung der wichtigsten Angriffsvektoren erleichtert es Unternehmen, die Bedrohungslandschaft zu verstehen. Dies wiederum kann ihnen helfen, ihr Sicherheitsniveau zu verbessern, um sich vor diesen Bedrohungen zu schützen. Ebenso kann das Wissen um neu aufkommende Bedrohungen, die vielleicht noch keinen großen Teil der Angriffe ausmachen, zu ihrer frühzeitigen Neutralisierung beitragen.
Im zweiten Quartal waren die wichtigsten neuen Bedrohungen Amplification-Angriffe, die das Character Generator Protocol (CHARGEN) missbrauchen, Amplification-Angriffe, die den Datenverkehr von ungeschützten Ubiquiti-Geräten reflektieren, und der berüchtigte Memcached-Angriff.
Missbrauch des CHARGEN-Protokolls zur Durchführung von Amplification-Angriffen
Die Angriffe, bei denen das CHARGEN-Protokoll missbraucht wurde, haben vom ersten auf das zweite Quartal um 378 % zugenommen.
Das ursprünglich in RFC 864 (1983) definierte Character Generator (CHARGEN)-Protokoll ist ein Dienst der Internetprotokollfamilie, der genau das tut, was sein Name besagt: Er generiert willkürlich Zeichen und hört nicht auf, sie an den Client zu senden, bis dieser die Verbindung beendet. Ursprünglich war er zum Testen und Debugging gedacht. Er wird jedoch nur noch selten verwendet, weil er so leicht für Amplification-/Reflection-Angriffe missbraucht werden kann.
Ein Angreifer kann die Ursprungs-IP seines Opfers fälschen und unterstützende Server auf der ganzen Welt täuschen, um einen Strom beliebiger Zeichen „zurück“ zu den Servern des Opfers zu leiten. Es handelt sich hierbei um einen Amplification/Reflection-Angriff. Bei einer ausreichenden Anzahl gleichzeitiger CHARGEN-Ströme würden die Server des Opfers, wenn sie ungeschützt sind, überflutet. Sie wären dann nicht mehr in der Lage, den legitimen Datenverkehr zu bewältigen – was zu einem Denial-of-Service-Ereignis führen würde.
Amplification-Angriffe, die das Ubiquiti Discovery-Protokoll ausnutzen
Im zweiten Jahresviertel haben die Angriffe über Ubiquity im Quartalsvergleich um 327 % zugelegt.
Ubiquiti ist ein US-amerikanisches Unternehmen, das Netzwerk- und IoT (Internet of Things)-Geräte für Verbraucher und Unternehmen anbietet. Ubiquiti-Geräte können mit dem Ubiquiti Discovery-Protokoll über UDP/TCP-Port 10001 in einem Netzwerk ermittelt werden.
Ähnlich wie beim CHARGEN-Angriffsvektor können Angreifer auch hier die Ursprungs-IP-Adresse durch die IP-Adresse des Opfers ersetzen und Anfragen an IP-Adressen mit offenem Port 10001 verteilen. Diese würden dann auf das Opfer reagieren und es bei ausreichendem Volumen im Prinzip mit Daten überschwemmen.
Memcached-DDoS-Angriffe
Im zweiten Quartal wurden 287 % mehr DDoS-Angriffe über Memcached verzeichnet als in den vorangegangenen drei Monaten.
Memcached ist ein Datenbank-Caching-System zur Beschleunigung von Websites und Netzwerken. Ähnlich wie CHARGEN und Ubiquiti können Memcached-Server, die UDP unterstützen, für Amplification/Reflection-DDoS-Angriffe missbraucht werden. In diesem Fall würde der Angreifer Inhalte vom Caching-System anfordern und die IP-Adresse des Opfers als Ursprungs-IP in den UDP-Paketen eintragen. Das Opfer wird mit den Memcache-Antworten bombardiert, die um einen Faktor von bis zu 51.200 verstärkt werden können.
DDoS-Angriffe auf Netzwerkschicht aufgeschlüsselt nach Angriffsrate
Volumetrische Angriffe mit über 100 Gbit/s sind um 8% gegenüber dem Vorquartal gestiegen.
Es gibt verschiedene Möglichkeiten, die Größe eines L3/4-DDoS-Angriffs zu messen. So kann man sich das Volumen des damit einhergehenden Traffics ansehen, das als Bitrate ausgedrückt wird. Diese wird in Terabit pro Sekunde oder Gigabit pro Sekunde angegeben. Ein anderer Messwert ist die Anzahl der übermittelten Datenpakete. Diese sogenannte Paketrate wird in Millionen Paketen pro Sekunde angegeben.
Angriffe mit hohen Bitraten zielen darauf ab, die Internetverbindung zu belegen, sodass es zu einer „Denial of Service“ (Nichtverfügbarkeit) kommt. Mit hohen Paketraten dagegen wird versucht, die Server, Router oder andere Hardwaregeräte innerhalb des Netzwerkpfads durch Überlastung lahmzulegen. Diese Geräte wenden eine bestimmte Speicher- und Rechenleistung zur Verarbeitung eines Datenpakets auf. Werden sie daher mit Paketen regelrecht überschwemmt, sind ihre Verarbeitungskapazitäten unter Umständen irgendwann erschöpft. In einem solchen Fall werden Pakete „verworfen“ – mit anderen Worten: Die Appliance ist nicht in der Lage, sie zu verarbeiten. Für Nutzer hat das zur Folge, dass die von ihnen angesteuerten Dienste nicht richtig funktionieren oder nicht mehr verfügbar sind.
Aufschlüsselung nach Paketrate
Die Mehrheit der DDoS-Angriffe auf Netzwerkschicht bleibt unter 50.000 Paketen pro Sekunde. 50.000 Pakete pro Sekunde sind bei der Dimension des Cloudflare-Netzwerks eher am unteren Ende des Spektrums angesiedelt. Dennoch können damit leicht Ausfälle ungeschützter Websites verursacht und sogar Standard-Gigabit-Ethernet-Verbindungen überlastet werden.
Wenn wir uns die Veränderungen bei den Angriffsgrößen ansehen, ist festzustellen, dass paketintensive Angriffe mit mehr als 50.000 Paketen pro Sekunde in zweiten Jahresviertel zurückgegangen sind, während kleine Angriffe um 4 % zugelegt haben.
Aufschlüsselung nach Bitrate
Die Mehrheit der DDoS-Angriffe auf Netzwerkschicht blieben im zweiten Quartal unter 500 Mbit/s. Bei der Größe des Cloudflare-Netzwerks ist auch dies zu vernachlässigen. Dennoch können solche Attacken ungeschützte Websites mit weniger Kapazität sehr schnell lahmlegen oder zumindest eine Standard-Gigabit-Ethernet-Verbindung überlasten.
Interessanterweise sind große Angriffe mit einem Umfang zwischen 500 Mbit/s und 100 Gbit/s im Quartalsvergleich um 20–40 % zurückgegangen, während volumetrische Attacken mit mehr als 100 Gbit/s um 8 % zugenommen haben.
DDoS-Angriffe auf Netzwerkschicht aufgeschlüsselt nach Dauer
Im zweiten Quartal sind Angriffe mit einer Dauer von mehr als drei Stunden um 9 % gestiegen.
Zur Ermittlung der Dauer eines Angriffs wird die Zeit zwischen dem Moment, in dem er von unseren Systemen erstmals als solcher erkannt wird, und dem Augenblick, in dem wir das letzte Paket mit der Signatur dieser Attacke auf dieses konkrete Ziel registrieren, gemessen.
Im Berichtszeitraum dauerten 52 % der DDoS-Angriffe auf Netzwerkschicht weniger als 10 Minuten. Weitere 40 % dauerten 10–20 Minuten. Die verbleibenden 8 % umfassen Angriffe, die zwischen 20 Minuten und mehr als drei Stunden dauern.
Es ist wichtig, zu bedenken, dass die Auswirkungen eines erfolgreichen Angriffs weit über seine eigentliche Dauer – die möglicherweise nur ein paar Minuten beträgt – hinausgehen können. IT-Mitarbeitende, die auf einen erfolgreichen Angriff reagieren, müssen unter Umständen Stunden oder sogar Tage investieren, um Dienste wieder in Betrieb zu setzen.
Die meisten Angriffe sind zwar in der Tat nach kurzer Zeit wieder vorbei, doch es war ein Anstieg um über 15 % bei Attacken mit einer Dauer von 20–60 Minuten und um 12 % bei Angriffen mit einer Dauer von mehr als drei Stunden festzustellen.
Kurze Attacken bleiben leicht unbemerkt, insbesondere solche, die ein Ziel für wenige Sekunden mit einer großen Zahl an Paketen, Bytes oder Anfragen bombardieren. In diesen Fällen haben Abwehrlösungen, die auf einer manuellen Bekämpfung mittels Sicherheitsanalyse beruhen, keine Chance, den Angriff rechtzeitig zu unterbinden. Es bleibt dann nur die Möglichkeit, ihn im Nachhinein zu untersuchen und auf Grundlage der dabei gewonnenen Erkenntnisse eine neue Regel zu erstellen, anhand derer der Traffic anschließend auf das Angriffsprofil hin gefiltert werden kann. Dann besteht zumindest eine gewisse Hoffnung, dass die nächste Attacke erkannt wird. Ebenso wenig zielführend ist der Einsatz eines „On Demand“-Services, bei denen das Sicherheitsteam den Datenverkehr während eines Angriffs zu einem DDoS-Dienst umleitet. Denn in diesen Fällen ist die Attacke vorüber, bevor der Traffic dort ankommt.
Unternehmen wird die Verwendung automatisch funktionierender und ständig aktiver DDoS-Schutzdienste empfohlen. Diese analysieren den Datenverkehr und wenden in Echtzeit Fingerprinting an, wodurch sie schnell genug sind, um auch kurze Angriffe zu blockieren.
Zusammenfassung
Cloudflare hat es sich zur Aufgabe gemacht, ein besseres Internet zu schaffen. Das bedeutet ein sichereres, schnelleres und zuverlässigeres Web für alle – auch bei DDoS-Angriffen. Deshalb bieten wir seit 2017 allen unseren Kunden zeitlich unbeschränkten und unbegrenzten DDoS-Schutz gratis an. Im Lauf der Jahre ist es immer einfacher geworden, DDoS-Angriffe durchzuführen. Wir wollen aus diesem Grund sicherstellen, dass es für Unternehmen gleich welcher Größe noch einfacher und kostenlos ist, sich vor DDoS-Angriffen aller Art zu schützen.
Sie nutzen Cloudflare noch nicht? Dann starten Sie jetzt mit unseren Free- und Pro-Tarifen zum Schutz Ihrer Websites oder kontaktieren Sie uns für umfassenden DDoS-Schutz für Ihr gesamtes Netzwerk mit Magic Transit.