Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Bericht zur DDoS-Bedrohungslandschaft im dritten Quartal 2023

2023-10-26

Lesezeit: 12 Min.

Willkommen zum dritten DDoS-Bedrohungsbericht des Jahres 2023. Distributed Denial of Service (DDoS)-Attacken sind Cyberangriffe, die darauf abzielen, Websites (und andere Arten von Internetpräsenzen) für legitime Nutzer unerreichbar zu machen. Dafür werden sie mit so viel Traffic bombardiert, dass sie diesen nicht mehr bewältigen können – ähnlich wie ein Autofahrer, der auf dem Weg zum Supermarkt im Stau steckt.

DDoS threat report for 2023 Q3

Wir verzeichnen eine Vielzahl von DDoS-Angriffen aller Art und Größe, und unser Netzwerk ist eines der größten der Welt, schließlich erstreckt es sich über mehr als 300 Städte in über 100 Ländern. Über dieses Netzwerk werden in Spitzenzeiten über 64 Millionen HTTP-Anfragen pro Sekunde und täglich ca. 2,3 Milliarden DNS-Anfragen abgewickelt. Im Durchschnitt wehren wir jeden Tag 140 Milliarden Cyberbedrohungen ab. Diese gewaltige Datenmenge verschafft uns einen einzigartigen Einblick in die Bedrohungslandschaft, der es uns erlaubt, der Community aufschlussreiche DDoS-Trends aufzuzeigen.

In den letzten Wochen haben wir auch einen Anstieg von DDoS-Angriffen und anderen Cyberattacken gegen israelische Zeitungs- und Medienwebseiten sowie gegen Finanzinstitute und Regierungswebseiten beobachtet. Auch palästinensische Websites haben einen deutlichen Anstieg von DDoS-Angriffen zu verzeichnen. Die vollständige Berichterstattung finden Sie hier.

HTTP-DDoS-Angriffe auf israelische Websites, die Cloudflare nutzen

HTTP DDoS attacks against Israeli websites using Cloudflare

Die globale DDoS-Bedrohungslandschaft

Im dritten Quartal 2023 war Cloudflare mit einer der raffiniertesten und hartnäckigsten DDoS-Angriffskampagnen der Geschichte konfrontiert.

  1. Cloudflare wehrte Tausende von hypervolumetrischen HTTP-DDoS-Angriffen ab, von denen 89 mehr als 100 Millionen Anfragen pro Sekunde (rps) erreichten, wobei der größte Angriff 201 Millionen rps erreichte – eine Zahl, die dreimal so hoch war wie der bisher größte Angriff (71 Mio. rps).

  2. Die Kampagne trug zu einem Gesamtanstieg des HTTP-DDoS-Angriffs-Traffics im 3. Quartal um 65 % im Vergleich zum Vorquartal bei. Auch die L3/4-DDoS-Angriffe nahmen um 14 % zu.

  3. Glücksspielunternehmen waren mit dem größten Volumen an HTTP-DDoS-Angriffs-Traffic konfrontiert und überholten damit die Kryptowährungsbranche, welche im zweiten Quartal am häufigsten betroffen war.

Zur Erinnerung: Eine interaktive Version dieses Berichts ist auch als Cloudflare Radar-Bericht verfügbar. Auf Radar können Sie auch tiefer eintauchen und Traffic-Trends, Angriffe, Ausfälle und viele weitere Erkenntnisse für Ihre spezifische Branche, Ihr Netzwerk und Ihr Land erkunden.

HTTP-DDoS-Angriffe und hypervolumetrische Angriffe

Ein HTTP-DDoS-Angriff ist ein DDoS-Angriff über das Hypertext Transfer Protocol (HTTP). Er zielt auf HTTP-Internetwebsites wie mobile Anwendungsserver, E-Commerce-Websites und API-Gateways ab.

Illustration eines HTTP-DDoS-Angriffs

Illustration of an HTTP DDoS attack

HTTP/2, das 62 % des HTTP-Traffics ausmacht, ist eine Version des Protokolls, die die Anwendungsperformance verbessern soll. Der Nachteil ist, dass HTTP/2 auch die Performance eines Botnets zu verbessern kann.

Verteilung der HTTP-Versionen gemäß Radar

Kampagne mit hypervolumetrischen DDoS-Angriffen unter Ausnutzung von HTTP/2 Rapid Resets

Ab Ende August 2023 waren Cloudflare und verschiedene andere Anbieter Gegenstand einer ausgeklügelten und anhaltenden DDoS-Angriffskampagne, die die HTTP/2 Rapid Reset-Schwachstelle (CVE-2023-44487) ausnutzte.

Illustration eines DDoS-Angriffs mittels HTTP/2 Rapid Reset

Die DDoS-Kampagne umfasste Tausende von hypervolumetrischen DDoS-Angriffen über HTTP/2, die Spitzenwerte im Bereich von Millionen von Anfragen pro Sekunde (rps) erreichten. Die durchschnittliche Angriffsrate betrug 30 Mio. rps. Etwa 89 der Angriffe erreichten Spitzenwerte von über 100 Mio. rps, und der größte Angriff, den wir verzeichneten, erreichte 201 Mio. rps.

HTTP/2 Rapid Reset-Kampagne von hypervolumetrischen DDoS-Angriffen

Die Systeme von Cloudflare haben die große Mehrheit der Angriffe automatisch erkannt und abgewehrt. Wir haben Sofortmaßnahmen ergriffen und die Wirksamkeit und Effizienz unserer Abwehrsysteme verbessert, um die Verfügbarkeit unseres Netzwerks und jenes unserer Kunden zu gewährleisten.

Werfen Sie einen Blick auf unseren technischen Blogbeitrag, der sich eingehend mit HTTP/2 befasst und thematisiert, was wir gelernt und welche Maßnahmen wir ergriffen haben, um das Internet sicherer zu machen.

Durch VM-basierte Botnets ermöglichte hypervolumetrische DDoS-Angriffe

Wie wir in dieser und früheren Kampagnen festgestellt haben, sind Botnets, die Cloud-Computing-Plattformen nutzen und HTTP/2 ausbeuten, in der Lage, bis zu 5.000 Mal mehr Wirkung pro Botnet-Knoten zu erzeugen. Dies ermöglichte es ihnen, mit einem kleinen Botnet von nur 5.000-20.000 Knoten hypervolumetrische DDoS-Angriffe zu starten. Zum Vergleich: In der Vergangenheit bestanden IoT-basierte Botnets aus Flotten von Millionen von Knoten und konnten kaum ein paar Millionen Anfragen pro Sekunde erreichen.

Vergleich eines auf dem Internet der Dinge (IoT) basierenden Botnets und eines auf einer virtuellen Maschine (VM) basierenden Botnets

Bei der Analyse der zweimonatigen DDoS-Kampagne wird deutlich, dass die Cloudflare-Infrastruktur das primäre Ziel der Angriffe war. Genauer gesagt richteten sich 19 % aller Angriffe gegen die Websites und die Infrastruktur von Cloudflare. Weitere 18 % zielten auf Glücksspielunternehmen und 10 % auf bekannte VoIP-Anbieter ab.

Die am häufigsten von DDoS-Angriffen mittels HTTP/2 Rapid Reset betroffenen Branchen

HTTP-DDoS-Angriffs-Traffic stieg um 65 %

Die Angriffskampagne trug zu einem allgemeinen Anstieg des Traffics bei. Im letzten Quartal stieg das Volumen der HTTP-DDoS-Angriffe im Vergleich zum Vorquartal um 15 %. In diesem Quartal fiel der Anstieg noch deutlicher aus. Das Angriffsvolumen stieg im Quartalsvergleich um 65 % auf insgesamt 8,9 Bio. HTTP-DDoS-Anfragen, die von Cloudflare-Systemen automatisch erkannt und abgewehrt wurden.

Aggregiertes Volumen der HTTP-DDoS-Angriffe nach Quartal

Neben dem 65 %-Anstieg der HTTP-DDoS-Angriffe gab es auch einen geringfügigen Anstieg von 14 % bei den L3/4-DDoS-Angriffen – ähnlich wie im ersten Quartal dieses Jahres.

L3/4 DDoS-Angriff nach Quartal

Ein Anstieg großer volumetrischer DDoS-Angriffe trug zu diesem Anstieg bei. Im 3. Quartal haben unsere DDoS-Abwehrsysteme zahlreiche DDoS-Angriffe im Terabit-pro-Sekunde-Bereich automatisch erkannt und abgewehrt. Der größte Angriff, den wir verzeichneten, erreichte einen Spitzenwert von 2,6 Tbit/s. Dabei handelte es sich um eine UDP-Flood, die von einer Variante des Mirai-Botnets ausging.

Wichtigste Ursprungsländer für HTTP-DDoS-Angriffe

Beim Vergleich des globalen und länderspezifischen HTTP-DDoS-Anfragevolumens zeigt sich, dass die USA nach wie vor das Land sind, in dem die meisten HTTP-DDoS-Angriffe gestartet werden. Eine von 25 HTTP-DDoS-Anfragen stammte aus den USA. China bleibt an zweiter Stelle. Brasilien hat Deutschland als drittgrößtes Ursprungsland von HTTP-DDoS-Angriffen abgelöst, Deutschland liegt nunmehr an vierter Stelle.

HTTP-DDoS-Angriffe: Wichtigste Quellen im Vergleich zum gesamten Angriffs-Traffic

Bei einigen Ländern gehen aufgrund verschiedener Faktoren, z. B. der Bevölkerung und der Internetnutzung, natürlich größere Datenströme ein, weshalb diese Länder auch mehr Angriffe verzeichnen bzw. von dort ausgehen. Es ist interessant, eine bessere Vorstellung von der Gesamtmenge des aus einem bestimmten Land stammenden oder des in dieses Land eingehenden Volumens an Angriffs-Traffic zu erhalten. Gleichzeitig ist es aber auch hilfreich, diese Verzerrung zu beseitigen, indem man den Angriffs-Traffic zu dem gesamten, bei einem bestimmten Land eingehenden Traffic ins Verhältnis setzt.

In diesem Fall ergibt sich ein anderes Muster. Die USA schaffen es dann nicht einmal unter die Top Ten. Stattdessen liegt Mosambik (wieder einmal) an erster Stelle. Jede fünfte HTTP-Anfrage, die aus Mosambik kam, ließ sich auf einen HTTP-DDoS-Angriff zurückführen.

Ägypten bleibt an zweiter Stelle – etwa 13 % der aus Ägypten stammenden Anfragen waren Teil eines HTTP-DDoS-Angriffs. Libyen und China folgen als dritt- und viertwichtigste Ursprungsländer von HTTP-DDoS-Angriffen.

HTTP-DDoS-Angriffe: Die wichtigsten Ursprungsländer im Vergleich zu ihrem eigenen Traffic

Die wichtigsten Ursprungsländer von L3/4-DDoS-Angriffen

Wenn wir uns die Ursprungländer von L3/4-DDoS-Angriffen ansehen, ignorieren wir die Quell-IP-Adresse, da sie gefälscht werden kann. Stattdessen verlassen wir uns auf den Standort des Rechenzentrums von Cloudflare, in dem der Traffic aufgenommen wurde. Dank unseres großen Netzwerks und unserer globalen Präsenz sind wir in der Lage, geografische Präzision zu erreichen, um nachzuvollziehen, woher die Angriffe kommen.

Im dritten Quartal stammten rund 36 % des gesamten L3/4-DDoS-Angriffs-Traffics, den wir im dritten Quartal verzeichneten, aus den USA. Mit großem Abstand folgten Deutschland mit 8 % und das Vereinigte Königreich mit fast 5 % an dritter Stelle.

L3/4 DDoS-Angriffe: Wichtigste Ursprungsländer im Vergleich zum gesamten Angriffs-Traffic

Wenn man die Daten normalisiert, sieht man, dass Vietnam zum zweitwichtigsten Ursprungsland von L3/4-DDoS-Angriffen wurde, nachdem es zwei Quartale in Folge an erster Stelle stand. Neukaledonien, ein französisches Territorium mit Dutzenden von Inseln im Südpazifik, belegte den ersten Platz. Zwei von vier Bytes, die in den Rechenzentren von Cloudflare in Neukaledonien eingingen, waren Angriffe.

L3/4 DDoS-Angriffe: Die wichtigsten Ursprungsländer im Vergleich zu ihrem eigenen Traffic

Am häufigsten von HTTP-DDoS-Angriffen betroffene Branchen

Hinsichtlich des absoluten Volumens des HTTP-DDoS-Angriffs-Traffics springt die Glücksspielbranche auf den ersten Platz und überholt die Kryptowährungsbranche. Über 5 % des gesamten HTTP-DDoS-Angriffs-Traffics, den Cloudflare verzeichnete, zielte auf die Glücksspielbranche ab.

HTTP-DDoS-Angriffe: Die im Vergleich zum gesamten Angriffs-Traffic am häufigsten angegriffenen Branchen

Die Glücksspielindustrie gehört seit langem zu den Branchen, die im Vergleich zu anderen am häufigsten angegriffen werden. Wenn wir jedoch den HTTP-DDoS-Angriffs-Traffic im Verhältnis zu den einzelnen Branchen betrachten, ergibt sich ein anderes Bild. Die Glücksspielbranche hat so viel Nutzer-Traffic, dass sie, obwohl sie gemessen am Volumen die am meisten angegriffene Branche ist, nicht einmal in die Top Ten kommt, wenn wir sie in den Kontext der einzelnen Branchen stellen.

Stattdessen zeigt sich, dass die Bergbau- und Metallindustrie im Vergleich zum gesamten Traffic am häufigsten von Angriffen betroffen war – 17,46 % des gesamten Traffics zu Bergbau- und Metallunternehmen waren DDoS-Angriffe.

An zweiter Stelle liegt die Non-Profit-Branche, 17,41 % der an Non-Profit-Organisationen gerichteten Traffics ließen sich auf einen HTTP-DDoS-Angriff zurückführen. Viele dieser Angriffe richten sich gegen mehr als 2.400 gemeinnützige und unabhängige Medienorganisationen in 111 Ländern, die Cloudflare im Rahmen des Projekts Galileo kostenlos schützt, das dieses Jahr sein neunjähriges Bestehen feierte. Im letzten Quartal alleine hat Cloudflare täglich durchschnittlich 180,5 Millionen Cyber-Bedrohungen gegen im Rahmen des Projekt Galileo-geschützte Websites abgewehrt.

HTTP-DDoS-Angriffe: Die im Vergleich zum gesamten eigenen Traffic am häufigsten angegriffenen Branchen

An dritter Stelle stehen Unternehmen aus den Bereichen Pharmazeutik, Biotechnologie und Gesundheit, an vierter Stelle Websites der US-Regierung. Nahezu jede 10. HTTP-Anfrage an Internetpräsenzen der US-Regierung war Teil eines Angriffs. An fünfter Stelle steht die Kryptowährungsbranche, und nicht weit dahinter folgen Landwirtschaft und Fischerei.

Am häufigsten angegriffene Branchen nach Region

Lassen Sie uns nun näher darauf eingehen, welche Branchen in den einzelnen Regionen am häufigsten betroffen waren.

HTTP-DDoS-Angriffe: Am häufigsten von HTTP-DDoS-Angriffen betroffene Branchen nach Weltregion

Nähere Betrachtung innerhalb von Regionen

Afrika

Nachdem die Telekommunikationsbranche zwei Quartale in Folge die am häufigsten angegriffene Branche war, fiel sie vom ersten auf den vierten Platz zurück. Medienunternehmen waren die am meisten angegriffene Branche in Afrika. Der Banken-, Finanzdienstleistungs- und Versicherungssektor folgt an zweiter Stelle. Glücksspielunternehmen an dritter Stelle.

Asien

Die Kryptowährungsbranche bleibt im zweiten Quartal in Folge die am häufigsten angegriffene Branche in der APAC-Region. Die Glücksspielbranche belegte den zweiten Platz. Informationstechnologie- und Dienstleistungsunternehmen an dritter Stelle.

Europa

Im vierten Quartal in Folge bleibt die Glücksspielindustrie die am häufigsten angegriffene Branche in Europa. An zweiter Stelle stehen die Einzelhandelsunternehmen und an dritter Stelle die Softwarebranche.

Lateinamerika

Die Landwirtschaft war im 3. Quartal die am häufigsten betroffene Branche in Lateinamerika. Auf sie entfielen satte 53 % aller Angriffe auf Lateinamerika. Mit weitem Abstand folgten Glücksspielunternehmen an zweiter Stelle. An dritter Stelle stehen bürgerliche und soziale Organisationen.

Mittlerer Osten

Im Nahen Osten waren im 3. Quartal vor allem Einzelhandelsunternehmen im Visier. An zweiter Stelle stehen Unternehmen im Bereich der Softwarebranche, an dritter Stelle die Glücksspielindustrie.

Nordamerika

Nach zwei aufeinanderfolgenden Quartalen ist die Marketing- und Werbebranche vom ersten auf den zweiten Platz zurückgefallen. Die Softwarebranche hat die Führung übernommen. An dritter Stelle stehen die Telekommunikationsunternehmen.

Ozeanien

Die Telekommunikationsbranche wurde in Ozeanien im dritten Quartal bei weitem am häufigsten ins Visier genommen – über 45 % aller Angriffe in dieser Region richteten sich gegen diese Branche. Die Kryptowährungsbranche bzw. die Softwarebranche belegten den zweiten bzw. dritten Platz.

Am häufigsten von L3/4-DDoS-Angriffen betroffene Branchen

Betrachtet man die nächsttiefere Schicht des OSI-Modells, gehörten die am meisten angegriffenen Internetnetzwerke zur Informationstechnologie- und Dienstleistungsbranche. Fast 35 % des gesamten L3/4-DDoS-Angriffs-Traffics (in Bytes) zielten auf die Informationstechnologie- und Internetbranche ab.

Weit abgeschlagen folgten die Telekom-Unternehmen mit einem Anteil von nur 3 % auf dem zweiten Platz. An dritter Stelle lag die Glücksspielbranche, an vierter das Bank-, Finanzdienstleistungs- und Versicherungsgewerbe (BFSI).

L3/4 DDoS-Angriffe: Die im Vergleich zum gesamten Angriffs-Traffic am häufigsten angegriffenen Branchen

Vergleicht man die Angriffe auf Branchen mit dem gesamten Traffic für die jeweilige Branche, so stellt man fest, dass die Musikindustrie an erster Stelle steht, gefolgt von Computer- und Netzwerksicherheitsunternehmen, IT- und Internetunternehmen sowie Luft- und Raumfahrt.

L3/4 DDoS-Angriffe: Die im Vergleich zum gesamten eigenen Traffic am häufigsten angegriffenen Branchen

Am häufigsten von HTTP-DDoS-Angriffen betroffene Länder

Betrachtet man das Gesamtvolumen des Angriffs-Traffics, so bleiben die USA das größte Ziel von HTTP-DDoS-Angriffen. Fast 5 % des gesamten HTTP-DDoS-Angriffs-Traffics zielten auf die USA. Singapur belegte den zweiten und China den dritten Platz.

HTTP-DDoS-Angriffe: Die im Vergleich zum gesamten Traffic am häufigsten angegriffenen Länder

Wenn wir die Daten pro Land und Region normalisieren und den Angriffs-Traffic durch den gesamten Traffic teilen, ergibt sich ein anderes Bild. Die drei am häufigsten angegriffenen Länder sind Inselstaaten.

Anguilla, eine kleine Inselgruppe östlich von Puerto Rico, steht an erster Stelle der am meisten angegriffenen Länder. Über 75 % des gesamten Traffics auf Anguilla-Websites waren HTTP-DDoS-Angriffe. An zweiter Stelle steht Amerikanisch-Samoa, eine Inselgruppe östlich von Fidschi. An dritter Stelle stehen die British Virgin Islands.

An vierter Stelle steht Algerien, gefolgt von Kenia, Russland, Vietnam, Singapur, Belize und Japan.

HTTP-DDoS-Angriffe: Die im Vergleich zu ihrem eigenen Traffic am häufigsten angegriffenen Länder

Am häufigsten von L3/4-DDoS-Angriffen betroffene Länder

Zum zweiten Mal in Folge (wie auch im Q2 2023) sind chinesische Internet-Netzwerke und -Dienste das Hauptziel von L3/4-DDoS-Angriffen. Diese in China erfolgenden Angriffe machen 29 % aller Angriffe aus, die wir im 3. Quartal 2023 verzeichneten.

Mit weitem Abstand folgten die USA (3,5 %) und Taiwan (3 %).

L3/4 DDoS-Angriffe: Die im Vergleich zum gesamten Traffic am häufigsten angegriffenen Länder

Wenn man den Umfang des angreifenden Traffics im Vergleich zum gesamten Traffic in ein Land normalisiert, bleibt China auf dem ersten Platz und die USA verschwinden aus den Top Ten. Cloudflare stellte fest, dass 73 % des Traffics zu chinesischen Internetnetzwerken Angriffe waren. Die normalisierte Rangfolge ändert sich jedoch ab dem zweiten Platz, wobei die Niederlande den zweithöchsten Anteil am Angriffs-Traffic ausmachen (35 % des gesamten Traffics des Landes), dicht gefolgt von Thailand, Taiwan und Brasilien.

L3/4 DDoS-Angriffe: Die im Vergleich zu ihrem eigenen Traffic am häufigsten angegriffenen Länder

Top-Angriffsvektoren

Das Domain Name System (DNS) dient als das Telefonbuch des Internets. DNS hilft bei der Übersetzung der menschenfreundlichen Website-Adresse (z. B. www.cloudflare.com) in eine maschinenfreundliche IP-Adresse (z. B. 104.16.124.96). Durch die Störung von DNS-Servern beeinträchtigen Angreifer die Fähigkeit der Rechner, eine Verbindung zu einer Website herzustellen. Dadurch wird die Website für die Nutzer unerreichbar.

Das zweite Quartal in Folge waren DNS-basierte DDoS-Angriffe am häufigsten. Fast 47 % aller Angriffe waren DNS-basiert. Dies entspricht einem Anstieg von 44 % gegenüber dem Vorquartal. SYN-Floods stehen weiterhin an zweiter Stelle, gefolgt von RST-Floods, UDP-Floods und Mirai-Angriffen.

Top-Angriffsvektoren

Aufkommende Bedrohungen – reduziert, erneut verwendet und recycelt

Abgesehen von den gängigsten Angriffsvektoren haben auch weniger bekannte Angriffsvektoren erheblich zugenommen. Diese sind in der Regel sehr unbeständig, da die Bedrohungsakteure versuchen, ältere Angriffsvektoren zu „reduzieren, erneut zu verwenden und zu recyceln“. Dabei handelt es sich in der Regel um UDP-basierte Protokolle, die für Amplification- und Reflection-DDoS-Angriffe genutzt werden können.

Eine bekannte Taktik, die wir immer wieder beobachten, ist die Verwendung von Amplification-/Reflection-Angriffen. Bei dieser Angriffsmethode lässt der Angreifer den Traffic von Servern abprallen und richtet die Antworten auf sein Opfer. Die Angreifer sind in der Lage, den abgeprallten Traffic durch verschiedene Methoden wie IP-Spoofing auf ihr Opfer zu lenken.

Eine andere Form der Reflection kann durch einen Angriff namens „DNS-Laundering-Angriff“ erreicht werden. Bei einem DNS-Laundering-Angriff fragt der Angreifer Subdomains einer Domain ab, die vom DNS-Server des Opfers verwaltet wird. Das Präfix, das die Subdomain definiert, ist zufällig und wird bei einem solchen Angriff nie mehr als ein- oder zweimal verwendet. Rekursive DNS-Server haben aufgrund der Randomisierung nie eine Antwort im Cache und müssen die Anfrage an den autoritativen DNS-Server des Opfers weiterleiten. Der autoritative DNS-Server wird dann mit so vielen Anfragen bombardiert, dass er legitime Anfragen irgendwann nicht mehr bearbeiten kann oder sogar ganz zusammenbricht.

Illustration eines Reflection- und Amplification-Angriffs

Im 3. Quartal waren Multicast-DNS (mDNS)-basierte DDoS-Angriffe die Angriffsmethode, die am stärksten zunahm. An zweiter Stelle stehen Angriffe, die das Constrained Application Protocol (CoAP) ausnutzen, und an dritter Stelle solche, welche die Encapsulating Security Payload (ESP) missbrauchten. Lassen Sie uns diese Angriffsvektoren ein wenig näher betrachten.

Wichtigste neue Bedrohungen

mDNS-DDoS-Angriffe stiegen um 456 %

Multicast DNS (mDNS) ist ein UDP-basiertes Protokoll, das in lokalen Netzwerken zur Erkennung von Diensten/Geräten verwendet wird. Anfällige mDNS-Server antworten auf Unicast-Anfragen von außerhalb des lokalen Netzes, die mit der Quelladresse des Opfers „gefälscht“ (verändert, gespooft) werden. Dies führt zu Amplification-Angriffen. Im 3. Quartal haben wir einen starken Anstieg der mDNS-Angriffe festgestellt, und zwar um 456 % im Vergleich zum Vorquartal.

CoAP-DDoS-Angriffe um 387 % gestiegen

Das Constrained Application Protocol (CoAP) wurde für den Einsatz in einfachen elektronischen Geräten entwickelt und ermöglicht eine stromsparende und schlanke Kommunikation zwischen Geräten. Es kann jedoch für DDoS-Angriffe über IP-Spoofing oder -Amplification missbraucht werden, da böswillige Akteure seine Multicast-Unterstützung ausnutzen oder schlecht konfigurierte CoAP-Geräte einsetzen, um große Mengen unerwünschten Netzwerk-Traffics zu erzeugen. Dies kann zur Unterbrechung von Diensten oder zur Überlastung der Zielsysteme führen, so dass diese für legitime Nutzer nicht mehr verfügbar sind.

ESP DDoS-Angriffe stiegen um 303 %

Das Encapsulating Security Payload (ESP)-Protokoll ist Teil von IPsec und gewährleistet die Vertraulichkeit, Authentifizierung und Integrität der Netzwerkkommunikation. Es könnte jedoch für DDoS-Angriffe missbraucht werden, wenn böswillige Akteure falsch konfigurierte oder anfällige Systeme ausnutzen, um den Traffic in Richtung eines Ziels zu lenken (durch Reflection) oder zu verstärken, was zu einer Unterbrechung der Dienste führt. Wie bei anderen Protokollen muss man die Systeme, die ESP verwenden, sichern und richtig konfigurieren, um die Risiken von DDoS-Angriffen minimieren.

Ransom-DDoS-Angriffe

Gelegentlich werden DDoS-Angriffe durchgeführt, um Lösegeldzahlungen zu erpressen. Wir befragen unsere Kunden seit über drei Jahren und erfassen Fälle von Ransomware-DDoS-Angriffen.

Vergleich von Ransomware und Ransom-DDoS-Angriffen

Bei Ransomware-Angriffen laden die Opfer in der Regel eine schädliche Datei herunter oder sie klicken auf einen kompromittierten E-Mail-Link, wodurch ihre Dateien gesperrt, gelöscht oder offengelegt werden, bis ein Lösegeld gezahlt wird. Ransom-DDoS-Angriffe sind im Vergleich dazu für kriminelle Akteure viel einfacher auszuführen. Dafür sind keine Täuschungsmanöver nötig, um das Opfer zum Öffnen dubioser E-Mails oder zum Anklicken betrügerischer Links zu verleiten. Auch ein Einbruch in das Netzwerk oder der Zugriff auf Firmenressourcen ist nicht erforderlich.

Im vergangenen Quartal sind die Berichte über Ransom-DDoS-Angriffe weiter zurückgegangen. Etwa 8 % der Befragten gaben an, von Random-DDoS-Angriffen bedroht oder betroffen zu sein, was einen Rückgang bedeutet, den wir das ganze Jahr über beobachtet haben. Hoffentlich liegt es daran, dass die Bedrohungsakteure erkannt haben, dass Unternehmen nicht zahlen werden (was unsere empfohlene Vorgangsweise ist).

Ransom-DDoS-Angriffe nach Quartal

Bedenken Sie jedoch, dass dies auch sehr saisonabhängig ist und wir in den Monaten November und Dezember einen Anstieg der Ransom-DDoS-Angriffe erwarten können. Wenn wir uns die Q4-Zahlen der letzten drei Jahre ansehen, stellen wir fest, dass die Zahl der Ransom-DDoS-Angriffe im November im Vergleich zum Vorjahr deutlich gestiegen ist. In den vierten Quartalen der vorangegangenen Jahre gab einer von vier Befragten an, Opfer von Ransom-DDoS-Angriffen geworden zu sein.

Wie Sie Ihre Verteidigungsmaßnahmen in der Ära der hypervolumetrischen DDoS-Angriffe verbessern können

Im vergangenen Quartal haben wir einen noch nie dagewesenen Anstieg des DDoS-Angriffs-Traffics erlebt. Dieser Anstieg wurde größtenteils durch die hypervolumetrische HTTP/2-DDoS-Angriffskampagne verursacht.

Cloudflare-Kunden, die unseren HTTP-Reverse-Proxy, d.h. unsere CDN/WAF-Services, nutzen, sind vor diesen und anderen HTTP-DDoS-Angriffen bereits geschützt. Cloudflare-Kunden, die Nicht-HTTP-Dienste nutzen, und Organisationen, die Cloudflare überhaupt nicht nutzen, wird dringend empfohlen, einen automatisierten, immer aktiven HTTP-DDoS-Schutzdienst für ihre HTTP-Anwendungen zu nutzen.

Sicherheit ist ein Prozess, kein einzelnes Produkt oder ein Schalter, den man einfach nur umlegen muss. Zusätzlich zu unseren automatisierten DDoS-Schutzsystemen bieten wir umfassende gebündelte Funktionen wie Firewall, Bot-Erkennung, API-Schutz und Caching, um Ihre Abwehr zu stärken. Unser mehrschichtiger Ansatz optimiert Ihre Sicherheitsmaßnahmen und minimiert die möglichen Auswirkungen. Wir haben auch eine Liste mit Empfehlungen zusammengestellt, die Ihnen helfen, Ihre Verteidigung gegen DDoS-Angriffe zu optimieren. Zudem können Sie können unseren Schritt-für-Schritt-Assistenten folgen, um Ihre Anwendungen zu schützen und DDoS-Angriffe zu verhindern.

...Methodik der UntersuchungErfahren Sie mehr über unsere Methodik und wie wir diese Erkenntnisse gewinnen: https://developers.cloudflare.com/radar/reference/quarterly-ddos-reports

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
DDoSAttacks (DE)Cloudflare Radar (DE)DDoS Reports (DE)InsightsTrends (DE)HTTP2 (DE)Rapid Reset (DE)

Folgen auf X

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

Verwandte Beiträge