Willkommen zur 18. Ausgabe des Cloudflare-Berichts zur DDoS-Bedrohungslandschaft. Diese Berichte erscheinen vierteljährlich und bieten eine eingehende Analyse der DDoS-Bedrohungslandschaft, wie sie im gesamten Cloudflare-Netzwerk beobachtet wird. Diese Ausgabe konzentriert sich auf das zweite Quartal 2024.
Mit einem Netzwerk mit 280 Terabit pro Sekunde (Tbit/s) in mehr als 230 Städten weltweit, das von 19 % aller Websites genutzt wird, verfügt Cloudflare über einen einzigartigen Blickwinkel, der es uns ermöglicht, der Internet-Community wertvolle Einblicke und Trends zu vermitteln.
Wichtige Erkenntnisse für das zweite Quartal 2024
Cloudflare verzeichnete im Vergleich zum Vorjahr einen Anstieg der DDoS-Angriffe um 20 %.
1 von 25 an der Umfrage teilnehmenden Personen gab an, dass gegen sie gerichtete DDoS-Angriffe von staatlichen oder staatlich gesponserten Bedrohungsakteuren durchgeführt wurden.
Die Aktivitäten der Bedrohungsakteure erreichten ein Allzeithoch, da unsere automatisierten Verteidigungssysteme 10 Mal mehr Fingerprints generierten, um die äußerst raffinierten DDoS-Angriffe abzuwehren und zu neutralisieren.
Sehen Sie sich die interaktive Version dieses Berichts bei Cloudflare Radar an.
Kurz zur Erinnerung: Was ist ein DDoS-Angriff?
Bevor wir tiefer in die Materie eintauchen, wollen wir noch einmal zusammenfassen, was ein DDoS-Angriff ist, kurz für Distributed Denial of Service: Ein DDoS-Angriff ist eine Art von Cyberangriff, der darauf abzielt, Internetdienste wie Websites oder mobile Apps lahmzulegen oder zu stören, sodass sie für Nutzer nicht mehr verfügbar sind. Dies geschieht in der Regel, indem der Server des Opfers mit mehr Traffic überlastet wird, als er bewältigen kann. Dieser Traffic kommt in der Regel aus mehreren Internetquellen und ist daher nicht mehr in der Lage, legitimen Nutzer-Traffic zu verarbeiten.
Darstellung eines DDoS-Angriffs
Wenn Sie mehr über DDoS-Angriffe und andere Arten von Cyberbedrohungen erfahren möchten, besuchen Sie unser Lernzentrum, greifen Sie auf frühere Berichte zur DDoS-Bedrohungslandschaft im Cloudflare Blog zu oder besuchen Sie unseren interaktiven Hub, Cloudflare Radar. Es gibt auch eine kostenlose API für diejenigen, die diese und andere Internettrends untersuchen möchten.
Informationen zur Erstellung von Berichten finden Sie in unseren Methodologien.
Die Raffinesse der Bedrohungsakteure fördert die kontinuierliche Zunahme von DDoS-Angriffen
Im ersten Halbjahr 2024 haben wir 8,5 Millionen DDoS-Angriffe abgewehrt: 4,5 Millionen im ersten Quartal und 4 Millionen im zweiten Quartal. Insgesamt ging die Zahl der DDoS-Angriffe im zweiten Quartal im Vergleich zum Vorquartal um 11 % zurück, stieg aber im Jahresvergleich um 20 % an.
Verteilung der DDoS-Angriffe nach Arten und Vektoren
Zum Vergleich: Im gesamten Jahr 2023 haben wir 14 Millionen DDoS-Angriffe abgewehrt, und zur Hälfte des Jahres 2024 haben wir bereits 60 % der Zahl des Vorjahres abgewehrt.
Cloudflare hat 10,2 Billionen HTTP-DDoS-Anfragen und 57 Petabyte an DDoS-Angriffstraffic auf der Netzwerkebene erfolgreich abgewehrt, sodass der Traffic die Ursprungsserver unserer Kunden nicht erreichen konnte.
Statistiken über DDoS-Angriffe im zweiten Quartal 2024
Wenn wir die Zahlen weiter aufschlüsseln, setzen sich diese 4 Millionen DDoS-Angriffe aus 2,2 Millionen DDoS-Angriffen auf der Netzwerkebene und 1,8 Millionen HTTP-DDoS-Angriffen zusammen. Diese Zahl von 1,8 Millionen HTTP-DDoS-Angriffen wurde normalisiert, um die explosionsartige Zunahme ausgeklügelter und randomisierter HTTP-DDoS-Angriffe zu kompensieren. Unsere automatisierten Abwehrsysteme erstellen Echtzeit-Fingerprints für DDoS-Angriffe. Da diese ausgeklügelten Angriffe nach dem Zufallsprinzip ablaufen, haben wir beobachtet, dass viele Fingerprints für einzelne Angriffe erstellt wurden. Die tatsächliche Anzahl der erzeugten Fingerprints lag eher bei 19 Millionen – mehr als zehnmal so hoch wie die normalisierte Zahl von 1,8 Millionen. Die Millionen von Fingerprints, die zur Randomisierung erzeugt wurden, beruhten auf nur wenigen Regeln. Diese Regeln haben ihre Aufgabe erfüllt, Angriffe zu verhindern, aber sie haben die Zahlen aufgebläht, sodass wir sie aus der Berechnung ausgeschlossen haben.
HTTP-DDoS-Angriffe nach Quartal, mit Ausnahme der Fingerprints
Dieser zehnfache Unterschied unterstreicht den dramatischen Wandel in der Bedrohungslandschaft. Die Tools und Funktionen, die es Bedrohungsakteuren ermöglichen, solche randomisierten und ausgefeilten Angriffe durchzuführen, wurden bisher mit Fähigkeiten in Verbindung gebracht, die staatlichen Akteuren oder staatlich gesponserten Akteuren vorbehalten waren. Doch mit dem Aufkommen von generativer KI und Autopilot-Systemen, die den Akteuren helfen können, schneller besseren Code zu schreiben, haben nun auch gewöhnliche Cyberkriminelle diese Fähigkeiten erlangt.
Ransom-DDoS-Angriffe
Im Mai 2024 erreichte der Prozentsatz der angegriffenen Cloudflare-Kunden, die berichteten, von einem Bedrohungsakteur per DDoS-Angriff bedroht oder einem Ransom-DDoS-Angriffs ausgesetzt worden zu sein, 16 % – und damit den höchsten Wert der letzten 12 Monate. Das Quartal begann relativ niedrig: 7 % der Kunden meldeten eine Bedrohung oder einen Ransom-Angriff. Dieser Wert stieg im Mai schnell auf 16 % an und ging im Juni leicht auf 14 % zurück.
Anteil der Kunden, die DDoS-Bedrohungen oder Erpressung mit Lösegeldforderungen melden (nach Monat)
Insgesamt haben die Ransom-DDoS-Angriffe im vergangenen Jahr im Quartalsvergleich zugenommen. Im zweiten Quartal 2024 lag der Anteil der Kunden, die angaben, bedroht oder erpresst worden zu sein, bei 12,3 % und war damit etwas höher als im Vorquartal (10,2 %), aber ähnlich hoch wie im Vorjahr (ebenfalls 12,0 %).
Anteil der Kunden, die DDoS-Bedrohungen oder Erpressung mit Lösegeldforderung melden (nach Quartal)
Bedrohungsakteure
75 % der Befragten gaben an, dass sie nicht wissen, wer sie angegriffen hat und warum. Bei diesen Befragten handelt es sich um Cloudflare-Kunden, die von HTTP-DDoS-Angriffen betroffen waren.
Von den Befragten, die behaupten, es gewusst zu haben, gaben 59 % an, dass sie von einem Konkurrenten angegriffen wurden. Weitere 21 % gaben an, dass der DDoS-Angriff von einem verärgerten Kunden oder Nutzer durchgeführt wurde, und weitere 17 % gaben an, dass die Angriffe von staatlichen oder staatlich gesponserten Bedrohungsakteuren durchgeführt wurden. Die restlichen 3 % gaben an, dass es sich um einen selbst herbeigeführten DDoS-Angriff handelte.
Prozentualer Anteil der von Cloudflare-Kunden gemeldeten Arten von Bedrohungsakteuren, ohne unbekannte Angreifer und Ausreißer
Am stärksten angegriffene Länder und Regionen
Im zweiten Quartal 2024 war China das am meisten angegriffene Land der Welt. Dieses Ranking berücksichtigt HTTP-DDoS-Angriffe, DDoS-Angriffe auf der Netzwerkebene, das Gesamtvolumen und den prozentualen Anteil des DDoS-Angriffstraffics am gesamten Traffic, und die Diagramme zeigen die gesamte DDoS-Angriffsaktivität pro Land oder Region. Ein längerer Balken im Diagramm bedeutet mehr Angriffsaktivität.
Nach China lag die Türkei an zweiter Stelle, gefolgt von Singapur, Hongkong, Russland, Brasilien und Thailand. Die übrigen Länder und Regionen der 15 am häufigsten angegriffenen Länder sind in der nachstehenden Tabelle aufgeführt.
Die 15 am häufigsten angegriffenen Länder und Regionen im zweiten Quartal 2024
Am häufigsten angegriffene Branchen
Der Bereich Informationstechnologie und Dienste wurde im zweiten Quartal 2024 als die am stärksten betroffene Branche eingestuft. Die Ranking-Methoden, die wir hier verwendet haben, folgen den gleichen Prinzipien wie zuvor beschrieben, um das Gesamtvolumen und den relativen Angriffsverkehr für DDoS-Angriffe auf HTTP- und Netzwerkebene in ein einziges Ranking der DDoS-Angriffsaktivitäten zu destillieren.
Der Sektor Telekommunikation, Dienstleistungsanbieter und Carrier belegte den zweiten Platz. Konsumgüter belegten den dritten Platz.
Die 15 am häufigsten angegriffenen Branchen im zweiten Quartal 2024
Betrachtet man nur die HTTP-DDoS-Angriffe, ergibt sich ein anderes Bild. Die Gaming- und Glücksspielbranche verzeichnete die meisten Angriffe, gemessen am HTTP-DDoS-Anfragevolumen. Die Aufschlüsselung nach Regionen finden Sie unten.
Am häufigsten angegriffene Branchen nach Region (HTTP-DDoS-Angriffe)
Wichtigste Ursprungsländer von DDoS-Angriffen
Argentinien wurde im zweiten Quartal 2024 als wichtigstes Ursprungsland von DDoS-Angriffen eingestuft. Die Ranking-Methoden, die wir hier verwendet haben, folgen den gleichen Prinzipien wie zuvor beschrieben, um das Gesamtvolumen und den relativen Angriffs-Traffic sowohl für HTTP- als auch für DDoS-Angriffe auf der Netzwerkebene in ein einziges Ranking der DDoS-Angriffsaktivitäten zu destillieren.
Indonesien folgte dicht auf dem zweiten Platz, gefolgt von den Niederlanden auf dem dritten.
Die 15 wichtigsten Ursprungsländer von DDoS-Angriffen im zweiten Quartal 2024
Merkmale eines DDoS-Angriffs
Vektoren der DDoS-Angriffe auf Vermittlungsschicht
Trotz eines Rückgangs von 49 % gegenüber dem Vorquartal sind DNS-basierte DDoS-Attacken nach wie vor der häufigste Angriffsvektor, wobei der Anteil von DNS-Floods und DNS-Amplification--Angriffen bei insgesamt 37 % liegt. SYN-Floods belegten mit einem Anteil von 23 % den zweiten Platz, gefolgt von RST-Floods mit etwas mehr als 10 %. SYN-Floods und RST-Floods sind beides Arten von TCP-basierten DDoS-Angriffen. Zusammen machten alle Arten von TCP-basierten DDoS-Angriffen 38 % aller DDoS-Angriffe auf der Netzwerkebene aus.
Wichtigste Angriffsvektoren (Netzwerkebene)
HTTP-DDoS-Angriffsvektoren
Einer der Vorteile des Betriebs eines großen Netzwerks ist, dass wir viel Traffic und Angriffe verzeichnen. Das hilft uns, unsere Erkennungs- und Abwehrsysteme zum Schutz unserer Kunden zu verbessern. Im letzten Quartal wurde die Hälfte aller HTTP-DDoS-Angriffe mit proprietären Heuristiken abgewehrt, die es auf Cloudflare bekannte Botnetze abgesehen hatten. Diese Heuristiken leiten unsere Systeme an, einen Echtzeit-Fingerprint zu erstellen, der mit den Angriffen abgeglichen wird.
Bei weiteren 29 % handelte es sich um HTTP-DDoS-Angriffe, die gefälschte User Agents verwendeten, sich als Browser ausgaben oder von Headless Browsern ausgingen. Weitere 13 % wiesen verdächtige HTTP-Attribute auf, die unser automatisiertes System auslösten, und 7 % wurden als generische Floods markiert. Zu beachten ist, dass sich diese Angriffsvektoren oder Angriffsgruppen nicht unbedingt ausschließen. Beispielsweise geben sich bekannte Botnetze auch als Browser aus und haben verdächtige HTTP-Attribute, aber diese Aufschlüsselung ist unser erster Versuch, die HTTP-DDoS-Angriffe zu kategorisieren.
Wichtigste Angriffsvektoren (HTTP)
Bei DDoS-Angriffen verwendete HTTP-Versionen
Im zweiten Quartal nutzte etwa die Hälfte des gesamten Web-Traffics HTTP/2, 29 % nutzten HTTP/1.1, ein weiteres Fünftel verwendete HTTP/3, fast 0,62 % verwendeten HTTP/1.0, und 0,01 % nutzten HTTP/1.2.
Verteilung des Web-Traffics nach HTTP-Version
HTTP-DDoS-Angriffe folgen einem ähnlichen Muster in Bezug auf die Versionsübernahme, wenn auch mit einer größeren Ausrichtung auf HTTP/2. 76 % des HTTP-DDoS-Angriffs-Traffics liefen über die HTTP/2-Version und fast 22 % über HTTP/1.1 ab. HTTP/3 hingegen wurde in viel geringerem Umfang genutzt. Nur 0,86 % des HTTP-DDoS-Angriffstraffics erfolgte über HTTP/3 – im Gegensatz zu der viel breiteren Nutzung von 20 % im gesamten Webtraffic.
Verteilung des HTTP-DDoS-Angriffs-Traffics nach HTTP-Version
Dauer der DDoS-Angriffe
Die überwiegende Mehrheit der DDoS-Angriffe ist nur von kurzer Dauer. Über 57 % der HTTP-DDoS-Angriffe und 88 % der DDoS-Angriffe auf der Netzwerkebene enden innerhalb von 10 Minuten oder weniger. Dies unterstreicht den Bedarf an automatisierten Inline-Erkennungs- und Abwehrsystemen. Zehn Minuten sind kaum genug Zeit für einen Menschen, um auf eine Warnung zu reagieren, den Traffic zu analysieren und manuelle Abwehrmaßnahmen zu ergreifen.
Auf der anderen Seite der Diagramme sehen wir, dass etwa ein Viertel der HTTP-DDoS-Angriffe mehr als eine Stunde dauern und fast ein Fünftel länger als einen Tag dauert. Auf der Netzwerkebene sind längere Angriffe deutlich seltener. Nur 1 % der DDoS-Angriffe auf der Netzwerkebene dauern länger als 3 Stunden.
HTTP-DDoS-Angriffe: Aufgeschlüsselt nach Dauer
DDoS-Angriffe auf der Netzwerkschicht: Aufgeschlüsselt nach Dauer
Größe des DDoS-Angriffs
Die meisten DDoS-Angriffe sind relativ klein. Über 95 % der DDoS-Angriffe auf der Netzwerkebene bleiben unter 500 Megabit pro Sekunde und 86 % bleiben unter 50.000 Paketen pro Sekunde.
Verteilung der DDoS-Angriffe auf der Netzwerkebene nach Bitrate
Aufschlüsselung der DDoS-Angriffe auf der Netzwerkebene nach Paketrate
Ebenso bleiben 81 % der HTTP-DDoS-Angriffe unter 50.000 Anfragen pro Sekunde. Obwohl diese Raten für die Größenordnung von Cloudflare gering sind, können sie für eine ungeschützte Website, die an solche Traffic-Aufkommen nicht gewöhnt ist, dennoch verheerend sein.
Aufschlüsselung der HTTP-DDoS-Angriffe nach Anfragerate
Obwohl die meisten Angriffe klein sind, hat die Zahl der größeren volumetrischen Angriffe zugenommen. Einer von 100 DDoS-Angriffen auf der Netzwerkebene überschreitet 1 Million Pakete pro Sekunde (pps), und zwei von 100 überschreiten 500 Gbit/s. In der Anwendungsschicht überschreiten vier von 1.000 HTTP-DDoS-Angriffen 1 Million Anfragen pro Sekunde.
Wichtigste Eckpunkte
Die meisten DDoS-Angriffe sind klein und schnell. Doch selbst diese Angriffe können Online-Dienste stören, die nicht den bewährten Methoden der DDoS-Abwehrfolgen.
Darüber hinaus werden die Bedrohungsakteure immer raffinierter, was möglicherweise auf die Verfügbarkeit von generativer KI und Copilot-Tools für Entwickler zurückzuführen ist, was zu einem Angriffscode führt, der DDoS-Angriffe verursacht, die schwieriger abzuwehren sind. Schon bevor die Angriffe immer raffinierter wurden, hatten viele Unternehmen Schwierigkeiten, sich selbst gegen diese Bedrohungen zu schützen. Aber das ist auch nicht nötig. Cloudflare steht Ihnen zur Seite. Wir investieren beträchtliche Ressourcen – damit Sie das nicht müssen – um sicherzustellen, dass unsere automatisierten Verteidigungsmaßnahmen zusammen mit dem gesamten Portfolio der Cloudflare-Sicherheitsprodukte vor bestehenden und neuen Bedrohungen schützen.