Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Bericht zur DDoS-Bedrohungslandschaft im ersten Quartal 2024

2024-04-16

Lesezeit: 9 Min.
Dieser Beitrag ist auch auf English, 繁體中文, Français, 日本語, 한국어, Português, Español, und 简体中文 verfügbar.

Willkommen zur 17. Ausgabe des Cloudflare-Berichts zur DDoS-Bedrohungslandschaft. Diese Ausgabe befasst sich mit der DDoS-Bedrohungslandschaft sowie mit wichtigen Erkenntnissen, die aus den Entwicklungen im Cloudflare-Netzwerk im ersten Quartal 2024 gewonnen wurden.

DDoS threat report for 2024 Q1

Was ist ein DDoS-Angriff?

Zunächst aber ein kurzer Rückblick. Ein DDoS-Angriff, kurz für Distributed Denial of Service-Angriff, ist eine Art von Cyberangriff, der darauf abzielt, Internet wie Websites oder mobile Apps lahmzulegen, zu stören und sie für Nutzer unerreichbar zu machen. DDoS-Angriffe werden in der Regel durchgeführt, indem der Server des Opfers mit mehr Traffic überflutet wird, als er bewältigen kann.

Wenn Sie mehr über DDoS-Angriffe und andere Arten von Angriffen erfahren möchten, besuchen Sie unser Lernzentrum.

Frühere Berichte abrufen

Wir möchten Sie daran erinnern, dass Sie auf dem Cloudflare-Blog auf frühere Ausgaben des Berichts zur DDoS-Bedrohungslandschaft zugreifen können. Sie sind auch in unserem interaktiven Hub, Cloudflare Radar, verfügbar. Auf Radar finden Sie globalen Internet Traffic, Angriffe und technologische Trends und Erkenntnisse, mit Drill-Down- und Filterfunktionen, sodass Sie bestimmte Länder, Branchen und Netzwerke näher betrachten können. Es gibt auch eine kostenlose API, die es Forschern, Datendetektiven und anderen Web-Enthusiasten ermöglicht, Internet-Trends auf dem ganzen Globus zu untersuchen.

Nähere Informationen darüber, wie wir diesen Bericht erstellen bzw. vorbereiten, erfahren Sie in der Beschreibung unserer Methodologien.

Wichtigste Erkenntnisse aus dem Q1 2024

Wichtige Erkenntnisse aus dem ersten Quartal 2024 sind u.a.:

  • 2024 begann mit einem Paukenschlag. Die Verteidigungssysteme von Cloudflare wehrten im ersten Quartal automatisch 4,5 Millionen DDoS-Angriffe ab – ein Anstieg von 50 % im Vergleich zum Vorjahr.

  • DNS-basierte DDoS-Angriffe haben im Vergleich zum Vorjahr um 80 % zugelegt und sind nach wie vor der wichtigste Angriffsvektor.

  • Die DDoS-Angriffe auf Schweden stiegen nach der Aufnahme des Landes in das NATO-Bündnis um 466 % an, was das Muster widerspiegelte, das während des NATO-Beitritts Finnlands im Jahr 2023 zu beobachten war.

2024 beginnt mit einem Paukenschlag

Wir haben gerade das erste Quartal 2024 abgeschlossen, und unsere automatisierten Abwehrmaßnahmen haben bereits 4,5 Millionen DDoS-Angriffe abgewehrt – eine Menge, die 32 % aller DDoS-Angriffe entspricht, die wir im Jahr 2023 abgewehrt haben.

Aufschlüsselung nach Angriffsarten: HTTP-DDoS-Attacken stiegen um 93 % im Jahresvergleich und 51 % im Quartalsvergleich. DDoS-Angriffe auf der Netzwerkebene, auch bekannt als L3/4-DDoS-Angriffe, stiegen um 28 % gegenüber dem Vorjahr und 5 % gegenüber dem Vorquartal.

Q1 2024: Cloudflare hat 4,5 Millionen DDoS-Angriffe abgewehrt

Wenn wir die kombinierte Zahl von HTTP-DDoS-Angriffen und L3/4-DDoS-Angriffen vergleichen, sehen wir, dass die Zahl im ersten Quartal 2024 insgesamt um 50 % im Jahres- und 18 % im Quartalsvergleich gestiegen ist.

Aufschlüsselung der DDoS-Angriffe nach Jahr und Quartal

DDoS attacks by year and quarter

Insgesamt haben unsere Systeme im ersten Quartal 10,5 Billionen HTTP-DDoS-Angriffe abgewehrt. Außerdem bekämpften unsere Systeme mehr als 59 Petabyte an DDoS-Angriffs-Traffic allein auf Netzwerkschicht.

Unter diesen DDoS-Angriffen auf der Netzwerkebene überschritten viele die Rate von 1 Terabit pro Sekunde und zwar fast wöchentlich. Der bisher größte von uns im Jahr 2024 abgewehrte Angriff ging von einer Mirai-Variante des Botnetzes aus. Dieser Angriff erreichte 2 Tbit/s und richtete sich gegen einen asiatischen Hosting-Provider, der durch Cloudflare Magic Transit geschützt wurde. Die Systeme von Cloudflare haben den Angriff automatisch erkannt und abgewehrt.

Das Mirai-Botnetz, das für seine massiven DDoS-Angriffe berüchtigt ist, bestand hauptsächlich aus infizierten IoT-Geräten. 2016 legte es den Internetzugang in den USA lahm, indem es DNS-Dienstanbieter angriff. Fast acht Jahre später sind Mirai-Angriffe immer noch sehr häufig. Vier von 100 HTTP-DDoS-Angriffen und zwei von 100 L3/4-DDoS-Angriffen werden von einer Mirai-Variante des Botnets gestartet. Wir sprechen deshalb von einer „Variante“, weil der Mirai-Quellcode veröffentlicht wurde und es im Laufe der Jahre viele Abwandlungen des Originals gegeben hat.

Mirai-Botnet nimmt asiatischen Hosting-Provider mit einem DDoS-Angriff mit 2 Tbit/s ins Visier

Mirai botnet targets Asian hosting provider with 2 Tbps DDoS attack

DNS-Angriffe steigen um 80 %

Im März 2024 haben wir eines unserer neuesten DDoS-Abwehrsysteme eingeführt, Advanced DNS Protection. Dieses System ergänzt unsere bestehenden Systeme und ist zum Schutz vor den raffiniertesten DNS-basierten DDoS-Angriffen konzipiert.

Wir haben uns nicht aus heiterem Himmel entschieden, in dieses neue System zu investieren. DNS-basierte DDoS-Angriffe haben sich zum wichtigsten Angriffsvektor entwickelt und ihr Anteil an allen Angriffen auf der Netzwerkebene nimmt weiter zu. Im ersten Quartal 2024 stieg der Anteil der DNS-basierten DDoS-Angriffe im Vergleich zum Vorjahr um 80 % auf etwa 54 %.

DNS-basierte DDoS-Angriffe nach Jahr und Quartal

DNS-based DDoS attacks by year and quarter

Trotz des Anstiegs der DNS-Angriffe und aufgrund des allgemeinen Anstiegs aller Arten von DDoS-Angriffen bleibt der Anteil der einzelnen Angriffsarten bemerkenswerterweise derselbe wie in unserem vorherigen Bericht für das letzte Quartal 2023. HTTP-DDoS-Angriffe machen nach wie vor 37 % aller DDoS-Angriffe aus, DNS-DDoS-Angriffe 33 % und die restlichen 30 % entfallen auf alle anderen Arten von L3/4-Angriffen, wie SYN-Flood und UDP-Floods.

Verteilung der Angriffsarten

Attack type distribution

Tatsächlich waren SYN-Floods der zweithäufigste Layer 3/4-Angriff. Der dritte Angriffstyp waren RST Floods, eine weitere Art von TCP-basiertem DDoS-Angriff. UDP-Floods belegten mit einem Anteil von 6 % den vierten Platz.

Top-Angriffsvektoren

Top attack vectors

Bei der Analyse der häufigsten Angriffsvektoren untersuchen wir auch die Angriffsvektoren, die das größte Wachstum verzeichneten, es aber nicht unbedingt in die Top-Ten-Liste geschafft haben. Unter den am stärksten wachsenden Angriffsvektoren (neue Bedrohungen) verzeichnete Jenkins-Flood das größte Wachstum von über 826 % gegenüber dem Vorquartal.

Jenkins-Flood ist ein DDoS-Angriff, der Schwachstellen im Jenkins-Automatisierungsserver ausnutzt, insbesondere durch UDP-Multicast/Broadcast- und DNS-Multicast-Dienste. Angreifer können kleine, speziell gestaltete Anfragen an einen öffentlich zugänglichen UDP-Port auf Jenkins-Servern senden, sodass sie mit unverhältnismäßig großen Datenmengen antworten müssen. Das kann das Traffic-Volumen stark erhöhen, das Netzwerk des Angriffsziels überlasten und zu einer Serviceunterbrechung führen. Jenkins hat diese Sicherheitslücke (CVE-2020-2100) geschlossen, indem diese Dienste in späteren Versionen standardmäßig deaktiviert wurden. Doch wie wir auch vier Jahre später feststellen können, wird diese Schwachstelle im öffentlichen Internet auch weiterhin für DDoS-Angriffe missbraucht.

Der Angriffsvektor verzeichnete im Quartalsvergleich das größte Wachstum

Attack vectors that experienced the largest growth QoQ

HTTP/2 Continuation Flood

Ein weiterer Angriffsvektor, der es wert ist, diskutiert zu werden, ist die HTTP/2 Continuation Flood. Dieser Angriffsvektor wird durch eine Sicherheitslücke ermöglicht, die vom Forscher Bartek Nowotarski am 3. April 2024 entdeckt und öffentlich gemacht wurde.

Die HTTP/2 Continuation Flood-Schwachstelle betrifft HTTP/2-Protokollimplementierungen, die HEADERS und mehrere CONTINUATION-Frames unsachgemäß behandeln. Der Bedrohungsakteur sendet eine Folge von CONTINUATION-Frames ohne das END_HEADERS-Flag, was zu potenziellen Serverproblemen führt, wie z. B. Abstürzen, wenn der Speicher voll ist oder die CPU erschöpft ist. HTTP/2 Continuation Flood ermöglicht es sogar einem einzelnen Rechner, Websites und APIs, die HTTP/2 verwenden, zu stören. Die zusätzliche Herausforderung besteht darin, dass sie nur schwer entdeckt werden können, da keine Anfragen in HTTP-Zugriffsprotokollen sichtbar sind.

Diese Sicherheitslücke stellt eine potenziell schwerwiegende Bedrohung dar, die schädlicher ist als die bisher bekannten.

HTTP/2 Rapid Reset, der zu einer der größten HTTP/2 DDoS-Angriffskampagnen der Geschichte führte. Während dieser Kampagne zielten Tausende von hyper-volumetrischen DDoS-Angriffen auf Cloudflare. Die Angriffe umfassten mehrere Millionen Anfragen pro Sekunde. Die durchschnittliche Angriffsrate in dieser Kampagne, die von Cloudflare aufgezeichnet wurde, betrug 30 Millionen Anfragen pro Sekunde. Ungefähr 89 Attacken erreichten Höchstwerte von mehr als 100 Millionen Anfragen pro Sekunde und der größte von uns verzeichnete Angriff brachte es auf 201 Millionen. Weitere Informationen finden Sie in unserem Bericht zur DDoS-Bedrohungslandschaft im dritten Quartal 2023.

HTTP/2 Rapid Reset campaign of hyper-volumetric DDoS attacks in 2023 Q3

HTTP/2 Rapid Reset-Kampagne mit hypervolumetrischen DDoS-Angriffen im dritten Quartal 2023

Das Netzwerk von Cloudflare, seine HTTP/2-Implementierung und Kunden, die unsere WAF/CDN-Dienste nutzen, sind von dieser Schwachstelle nicht betroffen. Darüber hinaus sind uns derzeit keine Bedrohungsakteure bekannt, die diese Sicherheitslücke in der Praxis ausnutzen.

Den verschiedenen Implementierungen von HTTP/2, die von dieser Sicherheitslücke betroffen sind, wurden mehrere CVEs zugewiesen. Ein von Christopher Cullen von der Carnegie Mellon University veröffentlichter CERT-Alarm, über den Bleeping Computer berichtet hat, listet die verschiedenen CVEs auf:

Affected service CVE Details
Node.js HTTP/2 server CVE-2024-27983 Sending a few HTTP/2 frames can cause a race condition and memory leak, leading to a potential denial of service event.
Envoy's oghttp codec CVE-2024-27919 Not resetting a request when header map limits are exceeded can cause unlimited memory consumption which can potentially lead to a denial of service event.
Tempesta FW CVE-2024-2758 Its rate limits are not entirely effective against empty CONTINUATION frames flood, potentially leading to a denial of service event.
amphp/http CVE-2024-2653 It collects CONTINUATION frames in an unbounded buffer, risking an out of memory (OOM) crash if the header size limit is exceeded, potentially resulting in a denial of service event.
Go's net/http and net/http2 packages CVE-2023-45288 Allows an attacker to send an arbitrarily large set of headers, causing excessive CPU consumption, potentially leading to a denial of service event.
nghttp2 library CVE-2024-28182 Involves an implementation using nghttp2 library, which continues to receive CONTINUATION frames, potentially leading to a denial of service event without proper stream reset callback.
Apache Httpd CVE-2024-27316 A flood of CONTINUATION frames without the END_HEADERS flag set can be sent, resulting in the improper termination of requests, potentially leading to a denial of service event.
Apache Traffic Server CVE-2024-31309 HTTP/2 CONTINUATION floods can cause excessive resource consumption on the server, potentially leading to a denial of service event.
Envoy versions 1.29.2 or earlier CVE-2024-30255 Consumption of significant server resources can lead to CPU exhaustion during a flood of CONTINUATION frames, which can potentially lead to a denial of service event.

.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}

Betroffener Dienst

Top attacked industries by HTTP DDoS attacks, by region

CVE

Details

Top attacked industries by HTTP DDoS attacks

Node.js HTTP/2-Server

CVE-2024-27983

Top attacked industries by L3/4 DDoS attacks

Das Senden weniger HTTP/2-Frames kann zu einem Wettlauf mit einem Speicherleck und einem Denial of Service-Ereignis führen.

Der oghttp-Codec von Envoy

Top attacked industries by HTTP DDoS attacks (normalized)

CVE-2024-27919

Wenn eine Anfrage nicht zurückgesetzt wird, wenn die Grenzen der Header-Maps überschritten werden, kann dies zu einem unbegrenzten Speicherverbrauch führen, wodurch möglicherweise ein Denial-of-Service-Ereignis ausgelöst werden kann.

Top attacked industries by L3/4 DDoS attacks (normalized)

Empesta FW

CVE-2024-2758

Seine Durchsatzbegrenzungen sind nicht vollständig wirksam gegen eine Flut leerer CONTINUATION-Frames, was zu einem Denial-of-Service-Ereignis führen kann.

amphp/http

The top sources of HTTP DDoS attacks

CVE-2024-2653

Er sammelt CONTINUATION-Frames in einem unbegrenzten Puffer, wobei das Risiko eines Out-of-Memory-Absturzes (loom) besteht, wenn die Obergrenze der Header-Größe überschritten wird, was möglicherweise zu einem Denial-of-Service-Ereignis führt.

Die net/http- und net/http2-Pakete von Go

The top sources of L3/4 DDoS attacks

CVE-2023-45288

Ermöglicht es einem Angreifer, einen beliebig großen Satz von Headern zu senden, was zu einer übermäßigen CPU-Belastung und möglicherweise zu einem Denial-of-Service-Ereignis führen kann.

The top sources of HTTP DDoS attacks (normalized)

nghttp2-Bibliothek

CVE-2024-28182

The top sources of L3/4 DDoS attacks (normalized)

Eine Implementierung, die die nghttp2-Bibliothek verwendet, empfängt weiterhin CONTINUATION-Frames, was zu einem Denial-of-Service-Ereignis ohne ordnungsgemäßen Stream-Reset-Callback führen kann.

Apache httpdpd

CVE-2024-27316

Top attacked countries and regions by HTTP DDoS attacks

Eine Flut von CONTINUATION-Frames ohne gesetztes END_HEADERS-Flag kann gesendet werden, was zur unsachgemäßen Beendigung von Anfragen und möglicherweise zu einem Denial-of-Service-Ereignis führt.

Apache Traffic-Server

Top attacked countries and regions by HTTP DDoS attacks (normalized)

CVE-2024-31309

HTTP/2 CONTINUATION-Floods können zu einem übermäßigen Ressourcenverbrauch auf dem Server führen, was möglicherweise zu einem Denial-of-Service-Ereignis führt.

Top attacked countries and regions by L3/4 DDoS attacks

Envoy-Versionen 1.29.2 oder früher

CVE-2024-30255

Top attacked countries and regions by L3/4 DDoS attacks (normalized)

Der Verbrauch erheblicher Serverressourcen kann während einer Flut von CONTINUATION-Frames zur Erschöpfung der CPU und damit möglicherweise zu einem Denial-of-Service-Ereignis führen.

Die am häufigsten angegriffenen Branchen

Bei der Analyse der Angriffsstatistiken verwenden wir die Branche unserer Kunden, die in unseren Systemen gespeichert ist, um die am meisten angegriffenen Branchen zu ermitteln. Im ersten Quartal 2024 war die Marketing- und Werbebranche die am häufigsten von HTTP-DDoS-Angriffen betroffene Branche in Nordamerika. In Afrika und Europa wurde die Branche Informationstechnologie und Internet am häufigsten angegriffen. Im Nahen Osten war die am meisten angegriffene Branche die Softwarebranche. In Asien wurde die Glücksspielbranche am häufigsten angegriffen. In Südamerika war es der Bereich Banken, Finanzdienstleistungen und Versicherungen (BFSI). Zu guter Letzt war in Ozeanien die Telekommunikationsindustrie am häufigsten von DDoS-Angriffen betroffen.

Am stärksten von HTTP-DDoS-Angriffen betroffene Branchen, nach Region

Weltweit stand die Gaming- und Glücksspielbranche am stärksten im Visier von HTTP-DDoS-Angriffen. Etwas mehr als sieben von 100 DDoS-Anfragen, die Cloudflare abwehrte, zielten auf die Glücksspielbranche ab. An zweiter Stelle steht die Internet- und IT-Branche und an dritter Stelle das Marketing und die Werbung.

Am häufigsten von HTTP-DDoS-Angriffen betroffene Branchen

Mit einem Anteil von 75 % aller DDoS-Angriffsbytes auf der Netzwerkebene stand die Internet- und IT-Branche am stärksten im Visier von DDoS-Angriffen auf der Netzwerkebene. Eine mögliche Erklärung für diesen hohen Anteil ist, dass Internet- und IT-Firmen als Super-Aggregatoren von Angriffen fungieren und DDoS-Angriffe abbekommen, die in Wirklichkeit auf ihre Endkunden abzielen. Die nächsten drei Prozent entfielen auf die Telekommunikationsbranche, die Branche Banken, Finanzdienstleistungen und Versicherungen (BFSI), die Glücksspielindustrie und die Softwarebranche.

Am häufigsten von L3/4-DDoS-Angriffen betroffene Branchen

Normalisiert man die Daten, indem man den Angriffs-Traffic durch den gesamten Traffic für eine bestimmte Branche dividiert, ergibt sich ein völlig anderes Bild. Bei den HTTP-Angriffen waren Anwaltskanzleien und juristische Dienstleistungen die am meisten angegriffene Branche, da über 40 % ihres Traffics aus HTTP-DDoS-Angriffen bestand. An zweiter Stelle lag die Biotechnologie-Branche mit einem Anteil von 20 % am HTTP-DDoS-Angriffs-Traffic. An dritter Stelle standen gemeinnützige Organisationen mit einem Anteil von HTTP-DDoS-Angriffen von 13 %. An vierter Stelle steht die Luft- und Raumfahrtindustrie, gefolgt von Transport, Großhandel, Regierungsbeziehungen, Spielraum, Film, öffentliche Politik sowie Erwachsenenunterhaltung.

Am häufigsten von HTTP-DDoS-Angriffen betroffene Branchen (normalisiert)

Was die Netzwerkschicht angeht, so blieben Internet und IT bei Normalisierung die am stärksten von DDoS-Angriffen auf Layer 3 und 4 betroffene Branche, da fast ein Drittel ihres Traffics auf Angriffe entfällt. An zweiter Stelle stand die Textilbranche mit einem Angriffsanteil von 4 %. An dritter Stelle steht das Bauingenieurwesen, gefolgt vom Bankwesen, Finanzdienstleistungen und Versicherungen (BFSI), Militär, Bauwesen, medizinische Geräte, Verteidigung und Raumfahrt, Gaming und Glücksspiel und der Einzelhandel (soweit die Top 10).

Am häufigsten von DDoS-Angriffen auf Layer 3/4 betroffene Branchen (normalisiert)

Wichtigste Ursprungsländer von DDoS-Angriffen

Bei der Analyse der Quellen von HTTP-DDoS-Angriffen schauen wir uns die Ursprungs-IP-Adresse an, um den Ursprungsort dieser Angriffe zu bestimmen. Ein Land bzw. eine Region, aus dem bzw. der viele Angriffe kommen, deutet darauf hin, dass es höchstwahrscheinlich viele Botnet-Knoten hinter Virtual Private Network (VPN) oder Proxy-Endpunkten gibt, die Angreifer nutzen, um ihre Herkunft zu verschleiern.

Im ersten Quartal 2024 waren die Vereinigten Staaten die größte Quelle für HTTP-DDoS-Angriffs-Traffic, da ein Fünftel aller DDoS-Angriffsanfragen von US-amerikanischen IP-Adressen ausging. An zweiter Stelle steht China, gefolgt von Deutschland, Indonesien, Brasilien, Russland, Iran, Singapur, Indien und Argentinien.

Die wichtigsten Ursprungsländer für HTTP-DDoS-Angriffe

Auf der Netzwerkebene können die Quell-IP-Adressen gefälscht werden. Anstatt sich also auf IP-Adressen zu verlassen, um die Quelle zu verstehen, verwenden wir den Standort unserer Rechenzentren, bei denen der Angriffs-Traffic eingegangen ist. Dank der guten globalen Abdeckung von Cloudflare in über 310 Städten auf der ganzen Welt können wir eine geografische Genauigkeit erreichen.

Anhand des Standorts unserer Rechenzentren können wir erkennen, dass im ersten Quartal 2024 über 40 % des Traffics für L3/4-DDoS-Angriffe in unseren US-Rechenzentren abgewickelt wurden, was die USA zur größten Quelle für L3/4-Angriffe macht. Weit dahinter, an zweiter Stelle, liegt Deutschland mit 6 %, gefolgt von Brasilien, Singapur, Russland, Südkorea, Hongkong, Großbritannien, den Niederlanden und Japan.

Die wichtigsten Ursprungsländer von L3/4-DDoS-Angriffen

Wenn Sie die Daten normalisieren, indem Sie den angegriffenen Traffic durch den gesamten Traffic in ein bestimmtes Land oder eine bestimmte Region teilen, erhalten wir ein völlig anderes Bild. Fast ein Drittel des von Gibraltar ausgehenden HTTP-Traffics war DDoS-Angriffs-Traffic und damit die größte Quelle. An zweiter Stelle steht St. Helena, gefolgt von den Britischen Jungferninseln, Libyen, Paraguay, Mayotte, Äquatorialguinea, Argentinien und Angola.

Die wichtigsten Quellen für HTTP-DDoS-Angriffe (normalisiert)

Zurück zur Netzwerkebene, normalisiert, sehen die Dinge auch etwas anders aus. Fast 89 % des Traffics in unseren Rechenzentren in Simbabwe waren L3/4 DDoS-Angriffe. In Paraguay waren es über 56 %, gefolgt von der Mongolei mit einem Anteil von fast 35 %. Weitere Top-Standorte waren Moldawien, die Demokratische Republik Kongo, Ecuador, Dschibuti, Aserbaidschan, Haiti und die Dominikanische Republik.

Die wichtigsten Ursprungsländer von L3/4-DDoS-Angriffen (normalisiert)

Am häufigsten angegriffene Standorte

Bei der Analyse von DDoS-Angriffen gegen unsere Kunden verwenden wir deren Rechnungsland, um das angegriffene Land (oder die angegriffene Region) zu bestimmen. Im ersten Quartal 2024 waren die USA am häufigsten von HTTP-DDoS-Angriffen betroffen. Ungefähr eine von zehn DDoS-Anfragen, die Cloudflare abwehrte, zielte auf die USA ab. An zweiter Stelle steht China, gefolgt von Kanada, Vietnam, Indonesien, Singapur, Hongkong, Taiwan, Zypern und Deutschland.

Am häufigsten von HTTP-DDoS-Angriffen angegriffene Länder und Regionen

Wenn Sie die Daten normalisieren, indem Sie den Angriffs-Traffic durch den gesamten Traffic in ein bestimmtes Land oder eine bestimmte Region teilen, ändert sich die Liste drastisch. Mehr als 63 % des HTTP-Traffics nach Nicaragua waren DDoS-Angriffs-Traffic, womit Nicaragua der am meisten angegriffene Standort war. An zweiter Stelle steht Albanien, gefolgt von Jordanien, Guinea, San Marino, Georgien, Indonesien, Kambodscha, Bangladesch und Afghanistan.

Am häufigsten von HTTP-DDoS-Angriffen betroffene Länder und Regionen (normalisiert)

Was die Netzwerkschicht angeht, war China das Land mit den meisten Angriffen, denn 39 % aller DDoS-Bytes, die Cloudflare im ersten Quartal 2024 abwehrte, richteten sich gegen chinesische Kunden von Cloudflare. Hongkong kam auf den zweiten Platz, gefolgt von Taiwan, den Vereinigten Staaten und Brasilien.

Am häufigsten von L3/4-DDoS-Angriffen betroffene Länder und Regionen

Zurück zur Netzwerkebene: Normalisiert man die Werte, so ist Hongkong der Standort mit den meisten Zielgruppen. L3/4 DDoS-Angriffs-Traffic machte über 78 % des gesamten nach Hongkong gehenden Traffics aus. An zweiter Stelle steht China mit einem DDoS-Anteil von 75 %, gefolgt von Kasachstan, Thailand, St. Vincent und die Grenadinen, Norwegen, Taiwan, der Türkei, Singapur und Brasilien.

Am häufigsten von L3/4-DDoS-Angriffen betroffene Länder und Regionen (normalisiert)

Cloudflare hilft Ihnen – unabhängig von der Art, Größe oder Dauer des Angriffs

Cloudflare hat es sich zur Aufgabe gemacht, ein besseres Internet zu schaffen. Und ein besseres Internet ist eines, das für alle sicherer, schneller und zuverlässiger ist. Da vier von 10 HTTP-DDoS-Angriffen länger als 10 Minuten dauern und etwa drei von 10 Angriffen länger als eine Stunde andauern, stellt dies eine große Herausforderung dar. Doch egal, ob ein Angriff mehr als 100.000 Anfragen pro Sekunde umfasst, wie es bei einem von 10 Angriffen der Fall ist, oder ob er eine Million Anfragen pro Sekunde übersteigt – eine Seltenheit, die nur bei vier von 1.000 Angriffen vorkommt – die Verteidigungsmaßnahmen von Cloudflare bleiben undurchdringlich.

Seit der Einführung des DDoS-Schutzes ohne Volumensbegrenzung 2017, hat Cloudflare sein Versprechen, allen Unternehmen DDoS-Schutz der Enterprise-Klasse kostenlos zur Verfügung zu stellen, konsequent eingelöst und sichergestellt, dass unsere fortschrittliche Technologie und robuste Netzwerkarchitektur nicht nur Angriffe abwehrt, sondern auch die Performance ohne Kompromisse erhält.

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
DDoS Reports (DE)Mirai (DE)Cloudflare Radar (DE)DDoSAttacks (DE)DNS Flood (DE)Trends (DE)

Folgen auf X

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

Verwandte Beiträge

20. November 2024 um 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...

06. November 2024 um 08:00

Exploring Internet traffic shifts and cyber attacks during the 2024 US election

Election Day 2024 in the US saw a surge in cyber activity. Cloudflare blocked several DDoS attacks on political and election sites, ensuring no impact. In this post, we analyze these attacks, as well Internet traffic increases across the US and other key trends....