4,2 Tbit/s an schädlichen Paketen und eine Menge mehr: Der DDoS-Bericht von Cloudflare für das dritte Quartal 2024

Willkommen bei der 19. Ausgabe des Cloudflare-Reports zur DDoS-Bedrohungslandschaft. Diese Berichte erscheinen vierteljährlich und bieten eine eingehende Analyse der DDoS-Bedrohungslandschaft, wie sie sich im Cloudflare-Netzwerk beobachten lässt. Diese Ausgabe befasst sich mit dem dritten Quartal 2024.

Cloudflare verfügt über ein Netzwerk mit 296 Terabit pro Sekunde (Tbit/s), das sich über mehr als 330 Städte weltweit erstreckt, und wird von fast 20 % aller Websites als Reverse-Proxy genutzt. Dadurch befinden wir uns in einer einzigartigen Position, die es uns ermöglicht, die Internet-Community allgemein über wertvolle Erkenntnisse und Trends zu informieren.

• Die Zahl der DDoS-Angriffe ist im dritten Quartal 2024 in die Höhe geschnellt. Cloudflare hat fast 6 Millionen solcher Attacken abgewehrt, was einem Anstieg um 49 % im Quartals- und 55 % im Jahresvergleich entspricht.

• Dazu zählten über 200 hypervolumetrische Angriffe mit einem Umfang von mehr als 3 Terabit pro Sekunde (Tbit/s) und 2 Milliarden Paketen pro Sekunde, die von den autonomen DDoS-Abwehrsystemen von Cloudflare erkannt und gestoppt wurden. Die größte Attacke erreichte einen Spitzenwert von 4,2 Tbit/s und dauerte nur eine Minute.

• Der größten Zahl von DDoS-Angriffen war der Banken- und Finanzdienstleistungssektor ausgesetzt. Im Ländervergleich stand China am stärksten im Visier solcher Attacken und Indonesien war das wichtigste Ursprungsland für DDoS-Angriffe.

Wenn Sie sich eingehender über DDoS-Angriffe und andere Arten von Cyberbedrohungen informieren möchten, besuchen Sie unser Learning Center, greifen Sie auf frühere Berichte zu DDoS Bedrohung im Cloudflare-Blog zu oder nutzen Sie unseren interaktiven Hub, Cloudflare Radar. Es gibt auch eine kostenlose API für diejenigen, die diese und andere Internettrends genauer untersuchen möchten. Bei Interesse können Sie außerdem mehr über die bei der Erstellung dieser Berichte angewandten Methoden erfahren.

Im ersten Halbjahr 2024 haben die autonomen DDoS-Abwehrsysteme von Cloudflare 8,5 Millionen DDoS-Attacken automatisch erkannt und abgewehrt: 4,5 Millionen im ersten Quartal und 4 Millionen im zweiten. Im dritten Jahresviertel wurden fast 6 Millionen DDoS-Angriffe von unseren Systemen abgefangen. Somit summieren sich die DDoS-Attacken seit Jahresbeginn insgesamt auf 14,5 Millionen. Das sind durchschnittlich rund 2.200 DDoS-Angriffe in der Stunde.

Unter den abgewehrten Angriffen waren mehr als 200 hypervolumetrische DDoS-Attacken auf Netzwerkschicht mit einem Volumen von über 1 Tbit/s bzw. 1 Milliarde Paketen pro Sekunde. Die größten Angriffe erreichten Spitzenwerte von 3,8 Tbit/s und 2,2 Milliarden Paketen pro Sekunde. Lesen Sie mehr über diese Angriffe, und wie diese von unseren DDoS-Abwehrsystemen autonom neutralisiert wurden.

^{Verteilung der hypervolumetrischen DDoS-Angriffe im Zeitverlauf}

Während der Verfassung dieses Blog-Beitrags wurden unsere Systeme weiter zur Erkennung und Abwehr solcher massiven Angriffe eingesetzt. Gerade wurde ein neuer Rekord aufgestellt, nur drei Wochen nach unserer letzten Mitteilung dieser Art. Am 21. Oktober 2024 haben die Cloudflare-Systeme selbstständig eine DDoS-Attacke mit 4,2 Tbit/s erkannt und abgewehrt, die ungefähr eine Minute gedauert hat.

^{DDoS-Angriff mit 4,2 Tbit/s wird von Cloudflare selbstständig abgewehrt}

Von den 6 Millionen verzeichneten DDoS-Angriffen entfiel die eine Hälfte auf HTTP-DDoS-Attacken (auf Anwendungsschicht) und die andere auf Angriffe auf Netzwerkschicht. DDoS-Attacken auf Netzwerkschicht legten um 51 % im Quartals- und 45 % im Jahresvergleich zu. Bei HTTP-DDoS-Angriffen ergab sich ein Anstieg um 61 % im Quartals- und 68 % im Jahresvergleich.

90 % der DDoS-Angriffe, einschließlich der größten Attacken, waren nur von sehr kurzer Dauer. Allerdings wurde bei denen, die sich über mehr als eine Stunde erstreckten, eine leichte Zunahme um 7 % verzeichnet. Diese längeren Attacken machten 3 % aller Angriffe aus.

Im dritten Quartal haben wir eine gleichmäßige Verteilung bei der Anzahl der DDoS-Angriffe auf Netzwerkschicht im Vergleich zu den HTTP-DDoS-Attacken beobachtet. Bei den Attacken auf Netzwerkschicht waren SYN-Floods der führende Angriffsvektor, gefolgt von DNS-Flood-Angriffen, UDP-Floods, SSDP-Reflection-Angriffen und ICMP-Reflection-Angriffen.

Was die Anwendungsschicht betraf, wurden 72 % der HTTP-DDoS-Angriffe von bekannten Botnetzen gestartet und automatisch durch unsere firmeneigenen Mechanismen abgewehrt. Dies zeigt, welche Vorteile der Betrieb eines großen Netzwerks bietet: Dank des Volumens des Datenverkehrs und der Angriffe, die wir verzeichnen, können wir solide Schutzmaßnahmen gegen Botnetze entwickeln, testen und einsetzen.

Weitere 13 % der HTTP-DDoS-Attacken wurden aufgrund ihrer verdächtigen oder ungewöhnlichen HTTP-Attribute abgewehrt und 9 % wurden von Fake-Browsern oder Browser-Nachahmern gestartet. Die verbleibenden 6 % sind Attacken, die auf Login-Endpunkte abzielten, und Cache-Busting-Angriffe.

Zu beachten ist, dass sich diese Angriffsvektoren oder Angriffsgruppen nicht unbedingt gegenseitig ausschließen. Beispielsweise geben sich bekannte Botnetze auch als Browser aus und weisen verdächtige HTTP-Attribute auf. Mit dieser Aufschlüsselung wollen wir aber versuchen, eine hilfreiche Kategorisierung der verschiedenen HTTP-DDoS-Angriffe vorzunehmen.

^{Arten von DDoS-Angriffen im dritten Quartal 2024}

Im dritten Quartal haben wir gegenüber den vorangegangenen drei Monaten einen Anstieg der SSDP-Amplification-Angriffe um 4.000 % registriert. Eine SSDP (Simple Service Discovery Protocol)-Attacke ist eine Art von Reflection- und Amplification- DDoS-Angriff, bei dem das UPnP(Universal Plug and Play)-Protokoll ausgenutzt wird. Angreifer senden SSDP-Anfragen an anfällige UPnP-fähige Geräte wie Router, Drucker sowie IP-fähige Kameras und fälschen die Quell-IP-Adresse so, dass sie als die IP-Adresse des Opfers erscheint. Diese Geräte antworten mit großen Mengen an Traffic, die sie an die IP-Adresse des Opfers senden, und sorgen so für eine Überlastung von dessen Infrastruktur. Dieser Verstärkungseffekt (Amplification) ermöglicht es Angreifern, mit kleinen Anfragen große Mengen an Traffic zu generieren, womit die Dienste des Opfers lahmgelegt werden können. Die Deaktivierung von UPnP auf Geräten, auf denen dies nicht benötigt wird, und der Einsatz einer DDoS-Abwehrlösung können zum Schutz vor dieser Art von Angriffen beitragen.

^{Darstellung eines SSDP-Amplification-Angriffs}

Bei der Durchführung von HTTP-DDoS-Attacken wollen die Angreifer nicht entdeckt werden. Eine Taktik, um das zu erreichen, ist die Fälschung des User Agents. Wenn dies gelingt, kann sich der Angreifer als legitimer Browser oder Client ausgeben.

Im dritten Quartal haben sich 80 % des HTTP-DDoS-Angriffstraffics als der Google-Chrome-Browser ausgegeben. Es handelte sich um den bei Attacken am häufigsten registrierten User Agent. Die häufigsten dabei beobachteten Versionen waren Chrome 118, 119, 120 und 121.

Bei 9 % des HTTP-DDoS-Angriffstraffics wurde kein User Agent verzeichnet, womit diese Attacken an zweiter Stelle kamen.

Auf Rang drei und vier folgten Angriffe mit den User Agents Go-Http-Client und fasthttp. Ersteres ist der Standard-HTTP-Client in der Standardbibliothek von Go und letzteres ist eine leistungsstarke Alternative. fasthttp wird zur Erstellung schneller Webanwendungen, aber auch häufig für DDoS-Attacken und Web Scraping eingesetzt.

^{Die am häufigsten bei DDoS-Angriffen verwendeten User Agents}

Der User Agent hackney belegte den fünften Platz. Es handelt sich um eine HTTP-Client-Bibliothek für Erlang. Sie wird für HTTP-Anfragen verwendet und ist in Erlang/Elixir-Ökosystemen beliebt.

Ein interessanter User Agent taucht an sechster Stelle auf: HITV_ST_PLATFORM. Er scheint mit smarten Fernsehern oder Beistellgeräten in Verbindung zu stehen. Angreifer vermeiden in der Regel ungewöhnliche User Agents, wie der häufige Einsatz von Chrome-User Agents bei Cyberangriffen zeigt. Das Vorhandensein von HITV_ST_PLATFORM legt deshalb nahe, dass es sich bei den fraglichen Geräten tatsächlich um kompromittierte Smart-Fernseher oder Beistellgeräte gehandelt hat.

Auf Platz sieben bei der Verwendung für Angriffe kam der User Agent uTorrent. Dieser ist mit einem beliebten BitTorrent-Client verknüpft, der zum Herunterladen von Dateien benutzt wird.

Und schließlich war okhttp der am wenigsten verbreitete User Agent bei DDoS-Angriffen, obwohl er als HTTP-Client für Java- und Android-Anwendungen beliebt ist. 

Bei 89 % des HTTP-DDoS-Angriffstraffics wurde die GET-Methode verwendet, und diese ist auch die am häufigsten verwendete Methode bei HTTP-Attacken. Wenn wir eine Standardisierung des Angriffstraffics vornehmen, indem wir die Anzahl der Angriffsanfragen durch die Methode bei allen Anfragen mit HTTP dividieren, ergibt sich ein anderes Bild.

Fast 12 % aller Anfragen, bei denen die DELETE-Methode verwendet wurde, waren Teil einer HTTP-DDoS-Attacke. Wir sehen, dass nach DELETE die Methoden HEAD, PATCH und GET am häufigsten bei DDoS-Angriffen eingesetzt werden.

80 % der DDoS-Anfragen wurden über HTTP/2 abgewickelt und 19 % über HTTP/1.1. Doch diese Anteile fallen deutlich kleiner aus, wenn man eine Standardisierung der Anfragen auf den Gesamttraffic nach Version vornimmt. Wenn eine Standardisierung der Angriffsanfragen auf alle Anfragen nach Version durchgeführt wird, ergibt sich ein anderes Bild: Mehr als die Hälfte des für die nicht standardisierte oder fälschlicherweise als „HTTP/1.2“ identifizierte Version bestimmten Traffics war bösartig und Teil von DDoS-Angriffen. Beachtet werden muss dabei, dass es sich bei HTTP/1.2 nicht um eine offizielle Version des Protokolls handelt.

^{Tatsächlich sind die allermeisten HTTP-DDoS-Attacken (fast 94 %) mit HTTPS verschlüsselt.}

Im dritten Quartal 2024 war China das Land, das am häufigsten angegriffen wurde. An zweiter und dritter Stelle kamen die Vereinigten Arabischen Emirate und Hongkong, dicht gefolgt von Singapur, Deutschland und Brasilien.

Kanada lag auf Platz sieben, gefolgt von Südkorea, den Vereinigten Staaten und Taiwan auf Platz zehn.

Das Segment Bankwesen und Finanzdienstleistungen stand im dritten Quartal 2024 am stärksten im Visier von DDoS-Angriffen. Informationstechnologie und -Dienstleistungen belegten den zweiten Platz, gefolgt von dem Telekommunikationssektor, Service-Providern und Datennetzbetreibern.

Die Bereiche Kryptowährungen, Internet und Glücksspiel lagen knapp dahinter. Vervollständigt wurden die zehn am häufigsten angegriffenen Branchen durch die Segmente Unterhaltungselektronik, Bau- und Bauingenieurwesen sowie Einzelhandel.

Seit einigen Jahren befragen wir unsere von DDoS-Angriffen betroffenen Kunden. Die Umfrage deckt verschiedene Bereiche ab, etwa die Art des Angriffs und des Angreifers. 80 % der Umfrageteilnehmer gaben an, die Identität ihrer Angreifer nicht zu kennen. 20 % wussten jedoch nach eigener Aussage, wer sie angegriffen hat. Davon sagten 32 %, dass es sich um Erpresser handelte. 25 % erklärten, dass sie von einem Wettbewerber angegriffen wurden. 21 % gaben an, dass ein verärgerter Kunde oder Nutzer hinter dem Angriff steckte. 14 % sagten, dass die Angriffe von einem Staat oder einer staatlich unterstützten Gruppe durchgeführt wurden. Und schließlich erklärten 7 %, sich versehentlich selbst angegriffen zu haben. Ein Beispiel für einen solchen irrtümlichen Selbstangriff ist ein Post-Firmware-Update für IoT-Geräte, welches dazu führt, dass alle Geräte gleichzeitig mit der zentralen Stelle Kontakt aufnehmen, was zu einer Traffic-Schwemme führt.

^{Kategorisierung der Hauptangreifer}

Erpresser waren die häufigsten Angreifer. Allerdings verringerten sich die Meldungen über Ransom-DDoS-Angriffe im Quartalsvergleich insgesamt um 42 %, auch wenn sie im Jahresvergleich um 17 % zulegten. Insgesamt 7 % der Befragten gaben an, Ziel eines Ransom-DDoS-Angriffs geworden oder von einem Angreifer damit bedroht worden zu sein. Im August stieg dieser Anteil aber auf 10 %.

^{Meldungen von Ransom-DDoS-Angriffen, aufgeschlüsselt nach Quartal}

Indonesien war im dritten Quartal 2024 das wichtigste Ursprungsland von DDoS-Angriffen. An zweiter Stelle kamen die Niederlande, gefolgt von Deutschland, Argentinien und Kolumbien.

Rang fünf teilten sich Singapur, Hongkong, Russland, Finnland und die Ukraine.

Wenn Service-Provider ihre eigenen Netzwerke und Infrastrukturen betreiben, haben sie unter Umständen Mühe, zu erkennen, wer ihre Infrastruktur für bösartige Zwecke wie DDoS Angriffe nutzt. Aus diesem Grund stellen wir Netzwerkbetreibern einen kostenlosen Feed mit Bedrohungsdaten zur Verfügung. Dieser liefert ihnen Informationen über IP-Adressen aus ihren Netzwerken, die wir bei nachfolgenden DDoS-Angriffen registriert haben.

Hetzner (AS24940), ein in Deutschland ansässiger IT-Anbieter, war im dritten Quartal 2024 die größte Quelle von HTTP-DDoS-Angriffen. Den zweiten Platz belegte Linode (AS63949), eine 2022 von Akamai erworbene Cloud-Computing-Plattform. Vultr (AS64515), ein Dienstanbieter aus Florida, kam auf Rang drei.

Auf Platz vier lag Netcup (AS197540), ein weiterer IT-Anbieter aus Deutschland. Google Cloud Platform (AS15169) folgte an fünfter Stelle. DigitalOcean (AS14061) belegte den sechsten Platz, gefolgt vom französischen Provider OVH (AS16276), von Stark Industries (AS44477), Amazon Web Services (AS16509) und Microsoft (AS8075).

^{Wichtigste Ausgangsnetzwerke für HTTP-DDoS-Angriffe im dritten Quartal 2024}

In Berichtsquartal haben wir einen noch nie dagewesenen Anstieg bei hypervolumetrischen DDoS-Attacken mit Spitzenwerten von 3,8 Tbit/s und 2,2 Milliarden Paketen pro Sekunde verzeichnet. Damit zeigte sich ein ähnlicher Trend wie im gleichen Vorjahreszeitraum, in dem die Angriffe auf Anwendungsschicht im Rahmen der HTTP/2 Rapid Reset-Kampagne 200 Millionen Anfragen pro Sekunde überstiegen. Diese massiven Attacken können Websites und Internetanwendungen zusammenbrechen lassen – insbesondere solche, die Cloud-Dienste mit begrenzter Kapazität oder On-Premise Lösungen nutzen.

Durch den zunehmenden Einsatz leistungsstarker Botnetze im Kontext geopolitischer Spannungen und internationaler Zwischenfälle erweitert sich der Kreis der gefährdeten Unternehmen, von denen viele bislang nicht als Hauptziel von DDoS-Angriffen galten. Leider entscheiden sich zu viele Firmen erst für DDoS-Schutzmaßnahmen, nachdem sie durch einen Angriff bereits erheblichen Schaden erlitten haben.

Unsere Beobachtungen bestätigen, dass Unternehmen mit gut durchdachten und umfassenden Sicherheitsstrategien weitaus besser gegen solche Cyberbedrohungen gewappnet sind. Bei Cloudflare haben wir uns zum Schutz Ihrer Websites und Internetanwendungen verpflichtet. Durch erhebliche Investitionen in unsere automatisierten Abwehrmechanismen und ein solides Angebot an Sicherheitsprodukten gewährleisten wir proaktiven Schutz vor aktuellen und neuen Bedrohungen, damit Sie sich nicht darum kümmern müssen.