Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Bericht zur DDoS-Bedrohungslandschaft im vierten Quartal 2023

2024-01-09

Lesezeit: 14 Min.
Dieser Beitrag ist auch auf English, 繁體中文, Français, 日本語, 한국어, Português, Español, und 简体中文 verfügbar.

Willkommen zur 16. Ausgabe des Cloudflare-Berichts zur DDoS-Bedrohungslandschaft. Diese Ausgabe enthält DDoS-Trends und wichtige Erkenntnisse für das vierte und letzte Quartal 2023 sowie einen Überblick über die wichtigsten Trends des Jahres.

DDoS threat report for 2023 Q4

Was versteht man unter DDoS-Angriffen?

DDoS-Angriffe oder verteilte Denial-of-Service-Angriffe sind eine Art von Cyberangriff, der auf Websites und Online-Dienste abzielt. Sie sollen für Nutzer unerreichbar werden, indem sie mit mehr Traffic überlastet werden, als sie bewältigen können. DDoS-Angriffe sind vergleichbar mit einem Verkehrskollaps, der die Straßen verstopft und die Autofahrer daran hindert, ihr Ziel zu erreichen.

Es gibt drei wesentliche Arten von DDoS-Angriffen, die wir in diesem Bericht behandeln werden. Der erste ist ein HTTP-Anfrage-intensiver DDoS-Angriff, der darauf abzielt, HTTP-Server mit mehr Anfragen zu überlasten, als sie bewältigen können, um ein Denial-of-Service-Ereignis auszulösen. Der zweite ist ein IP-Paket-intensiver DDoS-Angriff, der das Ziel hat, Inline-Appliances wie Router, Firewalls und Server mit mehr Paketen zu überlasten, als sie verarbeiten können. Der dritte Angriff ist ein bit-intensiver Angriff, der die Internetverbindung sättigen und verstopfen soll, wodurch es zum bereits erwähnten „Verkehrskollaps“ kommen würde. In diesem Bericht werden wir verschiedene Methoden und Erkenntnisse über alle drei Arten von Angriffen vorstellen.

Frühere Ausgaben des Berichts finden Sie hier, sowie in unserem interaktiven Hub, Cloudflare Radar. Cloudflare Radar zeigt globale Trends und Einblicke in den Traffic, Angriffe und Technologien im Internet, mit Aufschlüsselungs- und Filterfunktionen, um die Einblicke in bestimmte Länder, Branchen und Service-Provider zu vergrößern. Cloudflare Radar bietet auch eine kostenlose API, die es Akademikern, Datendetektiven und anderen Web-Enthusiasten ermöglicht, die Internetnutzung auf der ganzen Welt zu untersuchen.

Nähere Informationen darüber, wie wir diesen Bericht erstellen bzw. vorbereiten, erfahren Sie in der Beschreibung unserer Methodologien.

Wichtigste Ergebnisse

  1. Im vierten Quartal beobachteten wir einen Anstieg der DDoS-Angriffe auf Netzwerkebene um 117 % gegenüber dem Vorjahr und generell eine Zunahme von DDoS-Aktivitäten, die sich auf Einzelhandels-, Versand- und PR-Websites während und rund um den Black Friday und die Weihnachtszeit konzentrierten.

  2. Der gegen Taiwan gerichtete DDoS-Angriffstraffic nahm im vierten Quartal im Vergleich zum Vorjahr um 3.370 % zu. Dies könnte mit den bevorstehenden Parlamentswahlen und der in den Medien berichteten Spannungen mit China in Zusammenhang stehen. Der prozentuale Anteil des DDoS-Angriffstraffics, der auf israelische Websites abzielte, stieg im Vergleich zum Vorquartal um 27 %, und der prozentuale Anteil des DDoS-Angriffstraffics, der auf palästinensische Websites abzielte, stieg im Vergleich zum Vorquartal um 1.126 % – angesichts des anhaltenden militärischen Konflikts zwischen Israel und der Hamas.

  3. Im vierten Quartal gab es einen atemberaubenden Anstieg des auf Websites von Umweltdiensten gerichteten DDoS-Angriffstraffics um 61.839 % im Vergleich zum Vorjahr, was mit der 28. Klimakonferenz der Vereinten Nationen (COP 28) zusammenfiel.

Lesen Sie weiter, um eine tiefgreifende Analyse dieser wichtigsten Ergebnisse und zusätzlicher Erkenntnisse zu erhalten, die Ihre Sicht auf die aktuellen Herausforderungen im Bereich der Cybersicherheit grundlegend verändern könnten!

Darstellung einer DDoS-Attacke

Hypervolumetrische HTTP-DDoS-Angriffe

2023 wurde jede Menge Neuland betreten. DDoS-Angriffe setzten neue Maßstäbe – in Umfang und Raffinesse. Die gesamte Internet-Community, einschließlich Cloudflare, sah sich einer anhaltenden und absichtlich herbeigeführten Kampagne mit Tausenden von hypervolumetrischen DDoS-Angriffen in noch nie dagewesenem Umfang ausgesetzt.

Diese Angriffe waren sehr komplex und nutzten eine HTTP/2-Schwachstelle aus. Cloudflare hat eine spezielle Technologie entwickelt, um die Auswirkungen der Schwachstelle abzuwehren und mit anderen in der Branche zusammengearbeitet, um die Sicherheitslücke verantwortungsvoll offenzulegen.

Im Rahmen dieser DDoS-Kampagne haben unsere Systeme im dritten Quartal den größten Angriff abgewehrt, den wir je erlebt haben – 201 Millionen Anfragen pro Sekunde (rps). Das ist fast 8 Mal so viel wie unser bisheriger Rekord aus dem Jahr 2022 mit 26 Millionen rps.

Größte HTTP-DDoS-Angriffe nach Jahr, wie von Cloudflare erfasst

Zunahme der DDoS-Angriffe auf der Netzwerkebene

Nachdem die hypervolumetrische Kampagne abgeklungen war, verzeichneten wir einen unerwarteten Rückgang der HTTP-DDoS-Angriffe. Insgesamt wehrten unsere automatisierten Abwehrmaßnahmen im Jahr 2023 über 5,2 Millionen HTTP-DDoS-Angriffe ab, die aus über 26 Billionen Anfragen bestanden. Das sind im Durchschnitt 594 HTTP-DDoS-Angriffe und 3 Milliarden abgewehrte Anfragen pro Stunde.

Trotz dieser astronomischen Zahlen ist die Anzahl der HTTP-DDoS-Angriffe im Vergleich zu 2022 um 20 % zurückgegangen. Dieser Rückgang war nicht nur im Jahresvergleich zu beobachten, sondern auch im vierten Quartal 2023, in dem die Zahl der HTTP-DDoS-Angriffe um 7 % gegenüber dem Q4 2022 und 18 % gegenüber dem Vorquartal zurückging.

Auf der Netzwerkebene war ein ganz anderer Trend zu beobachten. Unsere automatisierten Abwehrmaßnahmen wehrten 2023 8,7 Millionen DDoS-Angriffe auf der Netzwerkebene ab. Dies entspricht einer Zunahme von 85 % im Vergleich zu 2022.

Im vierten Quartal 2023 wehrten die automatischen Abwehrmechanismen von Cloudflare mehr als 80 Petabyte an Angriffen auf der Netzwerkebene ab. Im Durchschnitt haben unsere Systeme 996 DDoS-Angriffe auf der Netzwerkebene und 27 Terabyte pro Stunde automatisch abgewehrt. Die Zahl der DDoS-Angriffe auf der Netzwerkebene stieg im Jahr 2023 Q4 um 175 % gegenüber dem Vorjahr und 25 % gegenüber dem Vorquartal.

DDoS-Angriffe auf HTTP- und Netzwerkebene nach Quartal

DDoS-Angriffe nehmen während und um die COP 28 zu

Im letzten Quartal des Jahres 2023 hat sich die Bedrohungslandschaft im Cyberspace deutlich verändert. Während der Kryptowährungssektor zunächst führend war, was das Volumen der HTTP-DDoS-Angriffe anbelangt, hat sich ein neues Ziel als vorrangiges Opfer herauskristallisiert. Die Umweltdienstleistungsbranche erlebte einen noch nie dagewesenen Anstieg von HTTP-DDoS-Angriffen, die die Hälfte des gesamten HTTP-Traffics ausmachten. Dies ist ein atemberaubender 618-facher Anstieg im Vergleich zum Vorjahr und verdeutlicht einen beunruhigenden Trend im Hinblick auf die Cyberbedrohungen.

Dieser Anstieg an Cyberangriffen fiel mit der COP 28 zusammen, die vom 30. November bis zum 12. Dezember 2023 stattfand. Die Konferenz war ein entscheidendes Ereignis, das für viele den „Anfang vom Ende" der Ära der fossilen Brennstoffe darstellt. Im Vorfeld der COP 28 wurde eine deutliche Zunahme von HTTP-Angriffen auf Websites von Umweltdiensten festgestellt. Dieses Muster war nicht nur auf dieses Ereignis beschränkt.

Ein Blick auf die historischen Daten, insbesondere während der COP 26 und COP 27, sowie auf andere umweltbezogene UN-Resolutionen oder Ankündigungen, zeigt ein ähnliches Muster. Jedes dieser Ereignisse ging mit einer entsprechenden Zunahme von Cyberangriffen auf die Websites der Umweltdienste einher.

Im Februar und März 2023 haben wichtige Umweltereignisse wie die UN-Resolution zur Klimagerechtigkeit und der Start der Freshwater Challenge des Umweltprogramms der Vereinten Nationen das Profil von Umwelt-Websites geschärft, was möglicherweise mit einem Anstieg der Angriffe auf diese Websites korreliert​​​​.

Dieses wiederkehrende Muster unterstreicht die zunehmende Überschneidung zwischen Umweltfragen und Cybersicherheit, die im digitalen Zeitalter immer mehr in den Fokus von Angreifern gerät.

DDoS-Angriffe und Iron Swords

Es sind nicht nur UN-Resolutionen, die DDoS-Angriffe auslösen. Cyberangriffe und insbesondere DDoS-Angriffe sind seit langem ein Kriegs- und Störungsinstrument. Wir haben eine Zunahme der DDoS-Angriffe im Ukraine-Russland-Krieg beobachtet und erleben sie jetzt auch im Krieg zwischen Israel und Hamas. Erstmals informierten wir über diese Aktivitäten in unserem Bericht „Israel und Hamas tragen Konflikt auch im Cyberspace aus“ und behielten diese Aktivitäten während des gesamten vierten Quartals im Blick.

Die Operation „Iron Swords“ ist die Militäroffensive Israels gegen die Hamas nach dem von der Hamas angeführten Angriff vom 7. Oktober. In diesem anhaltenden bewaffneten Konflikt kommt es weiterhin zu DDoS-Angriffen auf beide Seiten.

DDoS-Angriffe auf israelische und palästinensische Websites, nach Branche

Bezogen auf den Traffic der einzelnen Regionen waren die palästinensischen Gebiete im vierten Quartal die am zweithäufigsten durch HTTP-DDoS-Angriffe angegriffene Region. Mehr als 10 % aller HTTP-Anfragen an palästinensische Websites waren DDoS-Angriffe, insgesamt 1,3 Milliarden DDoS-Anfragen – ein Anstieg von 1.126 % im Quartalsvergleich. 90 % dieser DDoS-Angriffe richteten sich gegen die Webseiten palästinensischer Banken. Weitere 8 % zielten auf IT- und Internet-Plattformen ab.

Am meisten angegriffene palästinensische Branchen

Ebenso haben unsere Systeme automatisch über 2,2 Milliarden HTTP-DDoS-Anfragen abgewehrt, die auf israelische Websites abzielten. Obwohl die 2,2 Milliarden einen Rückgang gegenüber dem Vorquartal und dem Vorjahr darstellen, ist der Anteil am insgesamt nach Israel gerichteten Traffics gestiegen. Diese normalisierte Zahl entspricht einem Anstieg von 27 % im Quartalsvergleich, aber einem Rückgang von 92 % im Jahresvergleich. Trotz des höheren Angriffstraffics lag Israel im Verhältnis zu seinem eigenen Datenverkehr auf Platz 77 der am häufigsten angegriffenen Regionen. Gemessen am Gesamtvolumen der Angriffe lag es außerdem auf Platz 33, während die palästinensischen Gebiete auf Platz 42 lagen.

Besonders stark betroffen von den Angriffen auf israelische Websites waren Zeitungen und Medien, auf die fast 40 % aller auf Israel gerichteten HTTP-DDoS-Angriffe entfielen. Am zweithäufigsten war die Softwarebranche betroffen. Der Banken-, Finanzdienstleistungs- und Versicherungssektor belegte den dritten Platz.

Am meisten angegriffene israelische Branchen

Auf der Netzwerkebene ist derselbe Trend zu beobachten. Auf palästinensische Netzwerke entfielen 470 Terabyte an Angriffstraffic – das sind über 68 % des gesamten Traffics auf palästinensische Netzwerke. Damit waren die Palästinensischen Gebiete nach China die am zweithäufigsten angegriffene Region der Welt in Bezug auf DDoS-Angriffe auf der Netzwerkebene, bezogen auf den gesamten in die Palästinensischen Gebiete fließenden Datenverkehr. Nach dem absoluten Volumen des Traffics liegt es an dritter Stelle. Diese 470 Terabyte machten etwa 1 % des gesamten DDoS-Traffics aus, den Cloudflare abwehrte.

Auf israelische Netzwerke entfielen jedoch nur 2,4 Terabyte an Angriffstraffic, womit das Land auf Platz 8 der am häufigsten durch DDoS-Angriffe auf der Netzwerkebene angegriffenen Länder lag (normalisiert). Diese 2,4 Terabyte machten fast 10 % des gesamten Traffics in israelischen Netzwerken aus.

Am häufigsten angegriffene Länder

Als wir den von hier ausgehenden Angriffstraffic analysierten, sahen wir, dass 3 % aller Bytes, die in unsere in Israel ansässigen Rechenzentren eingespeist wurden, DDoS-Angriffe auf der Netzwerkebene waren. In unseren Rechenzentren in den palästinensischen Gebieten war diese Zahl deutlich höher – etwa 17 % aller Bytes.

Auf Anwendungsebene konnten wir feststellen, dass 4 % der HTTP-Anfragen, die von palästinensischen IP-Adressen ausgingen, DDoS-Angriffe waren. Zudem waren fast 2 % der HTTP-Anfragen, die von israelischen IP-Adressen ausgingen, ebenfalls DDoS-Angriffe.

Häufigste Ursprungsländer für DDoS-Angriffe

Im dritten Quartal 2022 war China das wichtigste Ursprungsland für HTTP-DDoS-Angriffstraffic. Seit dem vierten Quartal 2022 haben die USA jedoch den ersten Platz als wichtigstes Ursprungsland von HTTP-DDoS-Angriffen eingenommen und diese unerwünschte Position fünf Quartale in Folge gehalten. In ähnlicher Weise sind unsere Rechenzentren in den USA diejenigen, die den meisten DDoS-Angriffstraffic auf der Netzwerkebene aufnehmen – über 38 % aller Angriffsbytes.

HTTP-DDoS-Angriffe mit Ursprung in China und den USA nach Quartal

Auf China und die USA zusammen entfällt etwas mehr als ein Viertel des gesamten HTTP-DDoS-Angriffs-Traffics in der Welt. Die nächsten fünfundzwanzig Prozent entfallen auf Brasilien, Deutschland, Indonesien und Argentinien.

Häufigste Ursprungsländer für HTTP-DDoS-Angriffe

Diese hohen Zahlen entsprechen in der Regel großen Märkten. Deshalb normalisieren wir auch den aus den einzelnen Ländern stammenden Angriffstraffic, indem wir ihren ausgehenden Traffic vergleichen. Dabei stellen wir oft fest, dass kleine Inselnationen oder Länder mit einem kleineren Markt einen unverhältnismäßig hohen Anteil an Angriffstraffic aufweisen. Im vierten Quartal waren 40 % des von St. Helena ausgehenden Traffics HTTP-DDoS-Angriffe, womit das Land an der Spitze liegt. Nach der ‘abgelegenen tropischen Vulkaninsel’ folgt Libyen auf Platz zwei und Swasiland (auch bekannt als Eswatini) auf Platz drei. Argentinien und Ägypten folgen auf dem vierten und fünften Platz.

Häufigste Ursprungsländer von HTTP-DDoS-Angriffen in Bezug auf den Traffic der einzelnen Länder

Auf der Netzwerkebene belegte Simbabwe den ersten Platz. Fast 80 % des gesamten Traffics, den wir in unserem Rechenzentrum in Simbabwe aufgenommen haben, war bösartig. An zweiter Stelle steht Paraguay und an dritter Stelle Madagaskar.

Häufigste Ursprungsländer von DDoS-Angriffen auf der Netzwerkebene in Bezug auf den Traffic der einzelnen Länder

Am häufigsten angegriffene Branchen

Gemessen am Volumen an Angriffstraffic war der Kryptowährungssektor im vierten Quartal die am häufigsten angegriffene Branche. Über 330 Milliarden HTTP-Anfragen zielten auf ihn ab. Dies entspricht über 4 % des gesamten HTTP-DDoS-Traffics in diesem Quartal. Die am zweithäufigsten angegriffene Branche war Gaming & Glücksspiel. Diese Branchen sind bekannt dafür, dass sie begehrte Ziele sind und viel Traffic und Angriffe anziehen.

Am stärksten von HTTP-DDoS-Angriffen betroffene Branchen

Auf der Netzwerkebene wurde die IT- und Internetbranche am häufigsten angegriffen – mehr als 45 % des gesamten DDoS-Traffics auf der Netzwerkebene war gegen sie gerichtet. Weit abgeschlagen folgen die Branchen Banken, Finanzdienstleistungen und Versicherungen (BFSI), Gaming und Glücksspiel und Telekommunikation.

Am stärksten von DDoS-Angriffen auf der Netzwerkebene betroffene Branchen

Um eine andere Perspetive zu erhalten, haben wir auch hier den Angriffstraffic auf den gesamten Traffic einer bestimmten Branche normiert. Dadurch ergibt sich ein anderes Bild.

Am stärksten von HTTP-DDoS-Angriffen betroffene Branchen, nach Region

Wir haben bereits zu Beginn dieses Berichts erwähnt, dass die Branche der Umweltdienste im Verhältnis zu ihrem eigenen Traffic am meisten angegriffen wurde. An zweiter Stelle stand die Branche Paket-/Frachtlieferung, die aufgrund ihrer zeitlichen Korrelation mit dem Online-Shopping während des Black Friday und der Weihnachtszeit interessant ist. Gekaufte Geschenke und Waren müssen irgendwie an ihren Bestimmungsort gelangen, und es sieht so aus, als hätten die Angreifer versucht, dies zu verhindern. In ähnlicher Weise stiegen die DDoS-Angriffe auf Einzelhandelsunternehmen im Vergleich zum Vorjahr um 23 %.

Am stärksten von HTTP-DDoS-Angriffen betroffene Branchen in Bezug auf den Traffic der einzelnen Branchen

Auf der Netzwerkebene war der Bereich Public Relations und Kommunikation die am stärksten betroffene Branche – 36 % des Traffics waren bösartig. Auch dies ist angesichts des Zeitpunkts sehr interessant. Firmen im Bereich PR/Kommunikation sind in der Regel mit dem Management der öffentlichen Wahrnehmung und Kommunikation verbunden. Eine Störung des Geschäftsbetriebs kann unmittelbare und weitreichende Auswirkungen auf den Ruf haben, was in der Weihnachtszeit im vierten Quartal noch kritischer wird. In diesem Quartal finden aufgrund der Feiertage, der Jahresabschlüsse und der Vorbereitungen für das neue Jahr häufig verstärkte PR- und Kommunikationsaktivitäten statt, sodass es sich um eine kritische Phase handelt – eine, die einige vielleicht stören möchten.

Am stärksten von DDoS-Angriffen auf der Netzwerkebene betroffene Branchen in Bezug auf den Traffic der einzelnen Branchen

Am stärksten angegriffene Länder und Regionen

Singapur war im vierten Quartal das häufigste Ziel von HTTP-DDoS-Angriffen. Mehr als 317 Milliarden HTTP-Anfragen, 4 % des gesamten weltweiten DDoS-Traffics, richteten sich gegen Websites in Singapur. Die USA folgten dicht dahinter auf Platz zwei und Kanada auf Platz drei. Taiwan stand an vierter Stelle der am häufigsten angegriffenen Regionen – inmitten der bevorstehenden Parlamentswahlen und der Spannungen mit China. Die nach Taiwan gerichteten Angriffe im Traffic des 4. Quartals stiegen im Vergleich zum Vorjahr um 847 % und im Vergleich zum vorangegangenen Quartal um 2.858 %. Dieser Anstieg ist nicht auf die absoluten Werte beschränkt. Auch der prozentuale Anteil des HTTP-DDoS-Angriffs-Traffics, der auf Taiwan abzielt, ist im Verhältnis zum gesamten nach Taiwan gerichteten Traffic deutlich gestiegen. Er stieg um 624 % gegenüber dem Vorquartal und um 3.370 % gegenüber dem Vorjahr.

Am häufigsten von HTTP-DDoS-Angriffen betroffene Länder (Zielländer)

Während China bei den HTTP-DDoS-Angriffen an neunter Stelle steht, ist es bei den Angriffen auf der Netzwerkebene die Nummer eins. 45 % des gesamten DDoS-Traffics auf der Netzwerkebene, den Cloudflare weltweit abwehrte, stammte aus China. Der Rest der Länder liegt so weit zurück, dass er fast zu vernachlässigen ist.

Am stärksten von DDoS-Angriffen auf Netzwerkebene betroffene Länder

Top targeted countries by Network-layer DDoS attacks

Wenn man die Daten normalisiert, stehen der Irak, die palästinensischen Gebiete und Marokko an der Spitze der am stärksten angegriffenen Regionen in Bezug auf den gesamten eingehenden Traffic. Interessant ist, dass Singapur an vierter Stelle steht. Singapur war also nicht nur mit dem meisten HTTP-DDoS-Angriffstraffic konfrontiert, sondern dieser Traffic machte auch einen beträchtlichen Teil des gesamten nach Singapur gerichteten Traffics aus. Im Gegensatz dazu wurden die USA gemessen am Volumen am zweithäufigsten angegriffen (siehe obiges Diagramm für die Anwendungsebene), lagen aber im Hinblick auf den gesamten in die USA gehenden Traffic an fünfzigster Stelle.

Am stärksten von HTTP-DDoS-Angriffen betroffene Länder in Bezug auf den Traffic der einzelnen Länder

Top targeted countries by HTTP DDoS attacks with respect to each country’s traffic

Ähnlich wie in Singapur, aber wohl noch dramatischer, ist China sowohl beim DDoS-Angriffstraffic auf der Netzwerkebene als auch in Bezug auf den gesamten nach China gerichteten Traffic das am meisten angegriffene Land. Fast 86 % des gesamten nach China gerichteten Traffics wurde von Cloudflare als DDoS-Angriffe auf der Netzwerkebene abgewehrt. Es folgten die Palästinensischen Gebiete, Brasilien, Norwegen und wiederum Singapur mit einem hohen Anteil an Angriffstraffic.

Am stärksten von DDoS-Angriffen auf der Netzwerkebene betroffene Länder, in Bezug auf den Traffic der einzelnen Länder

Top targeted countries by Network-layer DDoS attacks with respect to each country’s traffic

Angriffsvektoren und Attribute

Die meisten DDoS-Angriffe sind (nach Cloudflare-Maßstäben) kurz und relativ klein. Ungeschützte Websites und Netzwerke können jedoch sehr wohl durch kurze und kleine Angriffe gestört werden, wenn kein angemessener automatischer Inline-Schutz vorhanden ist. Dies unterstreicht die Notwendigkeit für Unternehmen, proaktiv eine zuverlässige Sicherheitsstrategie einzuführen.

Im vierten Quartal 2023 endeten 91 % der Angriffe innerhalb von 10 Minuten, 97 % erreichten Spitzenwerte von unter 500 Megabit pro Sekunde (Mbit/s) und 88 % überstiegen niemals den Wert von 50.000 Paketen pro Sekunde (pps).

Zwei von 100 DDoS-Angriffen auf der Netzwerkebene dauerten länger als eine Stunde und überschritten 1 Gigabit pro Sekunde (Gbit/s). Einer von 100 Angriffen überschritt 1 Million Pakete pro Sekunde. Darüber hinaus stieg die Anzahl der DDoS-Angriffe auf der Netzwerkebene, die 100 Millionen Pakete pro Sekunde übersteigen, im Vergleich zum Vorquartal um 15 %.

DDoS-Angriffsstatistiken, die Sie kennen sollten

Einer dieser großen Angriffe war ein Mirai-Botnet-Angriff, der einen Spitzenwert von 160 Millionen Pakete pro Sekunde erreichte. Das war nicht die größte Paketrate pro Sekunde, die wir je erlebt haben. Der größte, den wir je verzeichnet haben, hatte eine Rate von 754 Millionen Paketen pro Sekunde. Dieser Angriff fand 2020 statt, und bleibt der bisherige Rekordwert.

Dieser jüngste Angriff war jedoch einzigartig hinsichtlich seiner Bits pro Sekunde. Dies war der größte DDoS-Angriff auf der Netzwerkebene, den wir im vierten Quartal verzeichnet haben. Er erreichte einen Spitzenwert von 1,9 Terabit pro Sekunde und ging von einem Mirai-Botnet aus. Es handelte sich um einen Multi-Vektor-Angriff, d. h. er kombinierte mehrere Angriffsmethoden. Zu diesen Methoden gehörten UDP-Fragment-Flood, UDP/Echo-Flood, SYN-Flood, ACK-Flood und TCP-Malformed-Flags.

Dieser Angriff richtete sich gegen einen bekannten europäischen Cloud-Anbieter und ging von über 18 Tausend eindeutigen IP-Adressen aus, bei denen es sich vermutlich um Spoofing handelt. Er wurde automatisch erkannt und durch die Schutzmaßnahmen von Cloudflare abgewehrt.

Das zeigt, dass selbst die größten Angriffe sehr schnell enden. Frühere große Angriffe, die wir verzeichnet haben, endeten innerhalb von Sekunden – was die Notwendigkeit eines automatisierten Abwehrsystems unterstreicht. Angriffe im Terabit-Bereich sind zwar noch selten, aber sie werden immer häufiger.

Mirai DDoS-Angriffe mit 1,9 Terabit pro Sekunde

1.9 Terabit per second Mirai DDoS attacks

Der Einsatz dieser Varianten von Mirai-Botnets ist immer noch sehr verbreitet. Von allen Angriffsmethoden sind DNS-basierte Angriffe jedoch nach wie vor die bevorzugte Methode der Angreifer. Zusammen machen DNS-Floods und DNS-Amplification-Angriffe fast 53 % aller Angriffe im vierten Quartal aus. SYN-Floods folgen an zweiter Stelle und UDP-Floods an dritter. Wir befassen uns an dieser Stelle mit den beiden DNS-Angriffsarten. Weitere Informationen zu UDP- und SYN-Floods finden Sie über die Hyperlinks in unserem Learning Center.

DNS-Floods und Amplification-Angriffe

DNS-Floods und DNS-Amplification-Angriffe nutzen beide das Domain Name System (DNS) aus, funktionieren aber unterschiedlich. DNS ist wie ein Telefonbuch für das Internet. Es übersetzt menschenfreundliche Domain-Namen wie „www.cloudfare.com“ in numerische IP-Adressen, mit denen sich Computer gegenseitig im Netzwerk identifizieren.

Einfach ausgedrückt handelt es sich bei DNS-basierten DDoS-Angriffen um die Methode, mit der sich Computer und Server gegenseitig identifizieren, um einen Ausfall oder eine Störung zu verursachen, ohne dass ein Server tatsächlich „lahmgelegt“ wird. Zum Beispiel kann ein Server funktionieren, aber der DNS-Server ist ausgefallen. Clients können also keine Verbindung herstellen und werden dies als Ausfall betrachten.

Ein DNS-Flood-Angriff bombardiert einen DNS-Server mit einer überwältigenden Anzahl von DNS-Anfragen. Dies geschieht in der Regel mit Hilfe eines DDoS-Botnets. Die schiere Menge der Anfragen kann den DNS-Server überfordern, sodass es für ihn schwierig oder unmöglich wird, auf legitime Anfragen zu antworten. Dies kann zu den bereits erwähnten Serviceunterbrechungen, Verzögerungen oder sogar zu einem Ausfall für diejenigen führen, die versuchen, auf die Websites oder Dienste zuzugreifen, die auf den angegriffenen DNS-Server angewiesen sind.

Bei einem DNS-Amplification-Angriff hingegen wird eine kleine Anfrage mit einer gefälschten IP-Adresse (der Adresse des Opfers) an einen DNS-Server gesendet. Der Trick dabei ist, dass die DNS-Antwort deutlich größer ist als die Anfrage. Der Server sendet dann diese große Antwort an die IP-Adresse des Opfers. Durch den Missbrauch öffentlicher DNS-Resolver kann der Angreifer das Volumen des an das Opfer gesendeten Traffics verstärken, was zu einer wesentlich größeren Wirkung führt. Diese Art von Angriff stört nicht nur das Opfer, sondern kann auch ganze Netzwerke überlasten.

In beiden Fällen nutzen die Angriffe die kritische Rolle von DNS im Netzwerkbetrieb aus. Zu den Abwehrstrategien gehören in der Regel die Sicherung von DNS-Servern vor Missbrauch, die Implementierung einer Durchsatzbegrenzung (Rate Limiting) zur Steuerung des Traffics und die Filterung des DNS-Traffics, um bösartige Anfragen zu identifizieren und zu blockieren.

Top-Angriffsvektoren

Top attack vectors

Unter den neuen Bedrohungen, die wir im Auge behalten, verzeichneten wir einen Anstieg der ACK-RST Floods um 1.161 % sowie einen Anstieg der CLDAP-Floods um 515 % und der SPSS-Floods um 243 %, jeweils im Vergleich zum letzten Quartal. Lassen Sie uns einige dieser Angriffe durchgehen, um herauszufinden, wie sie zu einer Störung führen könnten.

Wichtigste neue Angriffsvektoren

Top emerging attack vectors

ACK-RST-Floods

Eine ACK-RST-Flood nutzt das Transmission Control Protocol (TCP) aus, indem sie zahlreiche ACK- und RST-Pakete an das Opfer sendet. Dies überfordert die Fähigkeit des Opfers, diese Pakete zu verarbeiten und darauf zu reagieren, was zu einer Serviceunterbrechung führt. Der Angriff ist effektiv, weil jedes ACK- oder RST-Paket eine Antwort vom System des Opfers anfordert und dessen Ressourcen beansprucht. ACK-RST-Floods sind oft schwer zu filtern, da sie legitimen Traffic imitieren, was die Erkennung und Abwehr erschwert.

CLDAP-Floods

CLDAP (Connectionless Lightweight Directory Access Protocol) ist eine Variante von LDAP (Lightweight Directory Access Protocol). Es wird für die Abfrage und Änderung von Verzeichnisdiensten verwendet, die über IP-Netzwerke laufen. CLDAP ist verbindungslos und verwendet UDP anstelle von TCP, was es schneller, aber weniger zuverlässig macht. Da es UDP verwendet, ist kein Handshake erforderlich, was es Angreifern ermöglicht, die IP-Adresse zu fälschen und als Reflection-Vektor zu nutzen. Bei diesen Angriffen werden kleine Anfragen mit einer gefälschten Quell-IP-Adresse (der IP-Adresse des Opfers) gesendet, was dazu führt, dass die Server große Antworten an das Opfer senden und es damit überfordern. Zur Abwehr gehört das Filtern und Überwachen von ungewöhnlichem CLDAP-Traffic.

SPSS-Floods

Floods, die das SPSS-Protokoll (Source Port Service Sweep) missbrauchen, sind eine Methode des Netzwerkangriffs, bei der Pakete von zahlreichen zufälligen oder gefälschten Quellports an verschiedene Zielports auf einem Zielsystem oder -netzwerk gesendet werden. Dieser Angriff verfolgt zwei Ziele: erstens die Überlastung der Rechenkapazitäten des Opfers, was zu Unterbrechungen von Diensten oder Netzwerkausfällen führt, und zweitens kann er dazu verwendet werden, nach offenen Ports zu suchen und verwundbare Dienste zu identifizieren. Die Flood wird durch das Versenden einer großen Anzahl von Paketen erreicht, die die Netzwerkressourcen des Opfers sättigen und die Kapazitäten seiner Firewalls und Intrusion Detection Systeme erschöpfen können. Um solche Angriffe abzuwehren, ist es wichtig, automatische Erkennungsfunktionen einzusetzen.

Cloudflare hilft Ihnen – unabhängig von der Art, Größe oder Dauer des Angriffs

Cloudflare hat das Ziel, ein besseres Internet zu schaffen. Wir glauben, dass ein besseres Internet eines ist, das sicher, performant und für alle verfügbar ist. Unabhängig von der Art des Angriffs, der Größe des Angriffs, der Dauer des Angriffs oder der Motivation, die hinter dem Angriff steht, bietet Cloudflare wirksamen Schutz vor all diesen Gefahren. Seit wir 2017 als erster Anbieter überhaupt DDoS-Schutz ohne Volumensbegrenzung eingeführt haben, haben wir uns verpflichtet, DDoS-Schutz der Enterprise-Klasse für alle Organisationen kostenlos zur Verfügung zu stellen – und das natürlich ohne Abstriche bei der Performance. Möglich wird dies durch unsere einzigartige Technologie und robuste Netzwerkarchitektur.

Sicherheit ist ein Prozess, kein einzelnes Produkt oder ein Schalter, den man einfach nur umlegen muss. Zusätzlich zu unseren automatisierten DDoS-Schutzsystemen bieten wir umfassende gebündelte Funktionen wie Firewall, Bot-Erkennung, API-Schutz, und Caching, um Ihre Abwehrmaßnahmen zu stärken. Unser mehrschichtiger Ansatz optimiert Ihre Sicherheitsmaßnahmen und minimiert die möglichen Auswirkungen. Wir haben auch eine Liste mit Empfehlungen zusammengestellt, die Ihnen helfen, Ihre Verteidigung gegen DDoS-Angriffe zu optimieren. Zudem können Sie können unseren Schritt-für-Schritt-Assistenten folgen, um Ihre Anwendungen zu schützen und DDoS-Angriffe zu verhindern. Und wenn Sie von unserem benutzerfreundlichen, erstklassigen Schutz vor DDoS- und anderen Angriffen im Internet profitieren möchten, können Sie sich anmelden – kostenlos! – unter cloudflare.com. Werden Sie angegriffen? Registrieren Sie sich oder rufen Sie die hier angegebene Cyber-Notfall-Hotline an, um sofort eine Antwort zu erhalten.

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
DDoSAttacks (DE)Cloudflare Radar (DE)DDoS Reports (DE)InsightsTrends (DE)Black Friday (DE)DNS (DE)China (DE)Israel

Folgen auf X

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

Verwandte Beiträge