Hypervolumetrische DDoS-Angriffe nehmen rasant zu: Cloudflare-Bericht zur DDoS-Bedrohungslandschaft im Q2 2025

Willkommen zur 22. Ausgabe des Cloudflare-Berichts zur DDoS-Bedrohungslandschaft. Er erscheint vierteljährlich und bietet eine eingehende Analyse der sich verändernden Bedrohungslage durch DDoS (Distributed Denial of Service)-Angriffe. Grundlage bilden Daten aus dem Cloudflare-Netzwerk. In dieser Ausgabe konzentrieren wir uns auf das zweite Quartal 2025. Frühere Berichte finden Sie unter www.ddosreport.com.

Der Juni war der aktivste Monat für DDoS-Angriffe im zweiten Quartal 2025 und machte fast 38 % aller beobachteten Aktivitäten aus. Ein bemerkenswertes Ziel war ein unabhängiges osteuropäisches Nachrichtenportal, das von Cloudflare geschützt wurde und nach seiner Berichterstattung über eine lokale Pride-Parade während des LGBTQ-Pride-Monats einen Angriff meldete.

• DDoS-Angriffe brechen weiterhin Rekorde. Während des zweiten Quartals 2025 blockierte Cloudflare automatisch die größten jemals gemeldeten DDoS-Angriffe mit einem Spitzenwert von 7,3 Terabit pro Sekunde (Tbit/s) und 4,8 Milliarden Paketen pro Sekunde (Bpps).

• Insgesamt sind die hypervolumetrischen DDoS-Angriffe im 2. Quartal 2025 sprunghaft angestiegen. Cloudflare blockierte über 6.500 hypervolumetrische DDoS-Angriffe, im Durchschnitt 71 pro Tag. 

• Obwohl die Gesamtzahl der DDoS-Angriffe im Vergleich zum Vorquartal zurückgegangen ist — das einen beispiellosen Anstieg erlebte, der durch eine groß angelegte Kampagne gegen das Netzwerk und die kritische Internetinfrastruktur von Cloudflare ausgelöst wurde — war die Zahl der DDoS-Angriffe im zweiten Quartal 2025 immer noch um 44 % höher als im zweiten Quartal 2024. Kritische Infrastrukturen stehen weiterhin unter anhaltendem Druck, wobei der Telekommunikations-, Dienstanbieter- und Carrier-Sektor erneut an die Spitze der am stärksten betroffenen Branchen springt.

Alle Angriffe in diesem Bericht wurden von unseren autonomen Abwehrsystemen automatisch erkannt und blockiert.

Um mehr über DDoS-Angriffe und andere Arten von Cyberbedrohungen zu erfahren, besuchen Sie unser Learning Center. Besuchen Sie Cloudflare Radar, um eine interaktive Version dieses Berichts anzuzeigen, in der Sie detailliertere Informationen erhalten können. Radar bietet auch eine kostenlose API für diejenigen, die Internettrends genauer untersuchen möchten. Bei Interesse können Sie außerdem mehr über die bei der Erstellung dieser Berichte angewandten Methoden erfahren.

Im zweiten Quartal 2025 hat Cloudflare 7,3 Millionen DDoS-Angriffe abgewehrt – ein deutlicher Rückgang gegenüber 20,5 Millionen im ersten Quartal, als eine 18-tägige Kampagne gegen die eigene und andere von Cloudflare geschützte kritische Infrastruktur 13,5 Millionen dieser DDoS-Angriffe auslöste. 

^{DDoS-Angriffe nach Quartal}

In der ersten Hälfte des Jahres 2025 hat Cloudflare schon 27,8 Millionen DDoS-Angriffe abgewehrt, was 130 % der Gesamtzahl an von Cloudflare blockierten Angriffen im Kalenderjahr 2024 entspricht.

^{DDoS-Angriffe nach Jahren}

Bei einer weiteren Aufschlüsselung zeigt sich, dass DDoS-Angriffe auf Layer 3/Layer 4 (L3/4) im Vergleich zum Vorquartal um 81 % auf 3,2 Millionen zurückgingen, während HTTP-DDoS-Angriffe um 9 % auf 4,1 Millionen anstiegen. Die Veränderungen im Jahresvergleich bleiben hoch. Insgesamt waren die Angriffe um 44 % höher als im zweiten Quartal 2024, wobei HTTP-DDoS-Angriffe den größten Anstieg von 129 % im Vergleich zum Vorjahr verzeichneten.

^{DDoS-Angriffe nach Monat}

Im zweiten Quartal 2025 blockierte Cloudflare über 6.500 hypervolumetrische DDoS-Angriffe, was durchschnittlich 71 hypervolumetrischen Angriffen pro Tag entspricht. Hypervolumetrische Angriffe umfassen L3/4 DDoS-Angriffe, die 1 Mrd. Pakete pro Sekunde (Bpps) oder 1 Tbit/s überschreiten, sowie HTTP DDoS-Angriffe, die mehr als 1 Mio. Anfragen pro Sekunde (Mrps) überschreiten.

Die Anzahl der hypervolumetrischen DDoS-Angriffe, die mehr als 100 Millionen Pakete pro Sekunde (pps) überschreiten, stieg im Vergleich zum Vorquartal um 592 %, und die Anzahl der Angriffe, die mehr als 1 Mrd. pps und 1 Terabit pro Sekunde (Tbit/s) überschreiten, hat sich im Vergleich zum Vorquartal verdoppelt. Die Anzahl der HTTP-DDoS-Angriffe, die mehr als 1 Mio. Anfragen pro Sekunde (rps) überschreiten, blieb unverändert bei insgesamt rund 20 Millionen, was einem Durchschnitt von fast 220.000 Angriffen pro Tag entspricht.

^{Hypervolumetrische DDoS-Angriffe im Q2 2025}

Als man sie fragte, wer hinter den DDoS-Angriffen im zweiten Quartal 2025 steckte, gab die Mehrheit (71 %) der Befragten an, nicht zu wissen, wer sie angegriffen hatte. Von den verbleibenden 29 % der Befragten, die angaben, den Bedrohungsakteur identifiziert zu haben, verwiesen 63 % auf Konkurrenten, ein Muster, das besonders häufig in der Gaming-, Glücksspiel- und Kryptobranche vorkommt. Weitere 21 % führten den Angriff auf staatliche oder staatlich gesponserte Akteure zurück, während jeweils 5 % angaben, dass sie sich versehentlich selbst angegriffen hatten (Selbst-DDoS), von Erpressern ins Visier genommen wurden oder von verärgerten Kunden/Nutzern angegriffen wurden.

^{Die wichtigsten gemeldeten Angreifer im Q2 2025}

Der Prozentsatz der angegriffenen Cloudflare-Kunden, die angaben, von einem Ransom-DDoS-Angriff betroffen oder bedroht worden zu sein, stieg im Vergleich zum Vorquartal um 68 % und im Vergleich zum gleichen Quartal im Jahr 2024 um 6 %. 

^{Ransom-DDoS-Angriffe nach Quartal – Stand: Q2 2025}

Bei näherer Betrachtung zeigt sich, dass die Zahl der Ransom-DDoS-Angriffe im Juni 2025 stark angestiegen ist. Etwa ein Drittel der Befragten gab an, mit Ransomware-DDoS-Angriffen bedroht worden oder Opfer von solchen Attacken geworden zu sein.

^{Ransom-DDoS-Angriffe nach Monat – Stand: Q2 2025}

Die Rangliste der 10 am häufigsten angegriffenen Standorte hat sich im zweiten Quartal 2025 deutlich verschoben. China kletterte um zwei Plätze auf den ersten Platz, Brasilien sprang um vier Plätze auf den zweiten Platz, Deutschland rutschte um zwei Plätze auf den dritten Platz ab, Indien verbesserte sich um einen Platz auf den vierten, und Südkorea stieg um vier Plätze auf den fünften Platz. Die Türkei fiel um vier Plätze auf den sechsten Platz zurück, Hongkong um drei auf den siebten Platz, und Vietnam sprang um erstaunliche fünfzehn Plätze auf den achten Platz. Russland schnellte um vierzig Plätze auf Rang neun, und Aserbaidschan stieg um einunddreißig Plätze und komplettierte die Top Ten.

^{Die im Q2 2025 am stärksten von DDoS-Attacken betroffenen Gebiete}

Es ist wichtig zu beachten, dass diese angegriffenen Standorte durch das Abrechnungsland des Cloudflare-Kunden bestimmt werden, dessen Dienste angegriffen wurden – nicht, dass diese Länder selbst angegriffen werden. Mit anderen Worten bedeutet ein hoher Rang lediglich, dass mehr unserer registrierten Kunden in der betreffenden Abrechnungsregion von DDoS-Traffic betroffen waren, anstatt dass es sich um ein direktes geopolitisches Ziel handelt.

Auch das Ranking der zehn am häufigsten angegriffenen Branchen im zweiten Quartal 2025 verzeichnete bemerkenswerte Veränderungen. Telekommunikationsunternehmen, Dienstanbieter und Netzbetreiber kletterten um einen Platz auf den ersten Rang, während der Internetsektor um zwei Plätze auf den zweiten Rang sprang. Informationstechnologie und Dienstleistungen blieben an dritter Stelle und Gaming stieg um einen Platz auf den vierten Platz. Der Bereich Glücksspiel & Casinos rutschte um vier Plätze auf den fünften Platz ab, während die Branche Banken & Finanzdienstleistungen auf dem sechsten Platz blieb. Der Einzelhandel rückte um einen Platz auf den siebten vor, und die Landwirtschaft machte einen dramatischen Sprung um 38 Plätze auf den achten. Die Softwarebranche kletterte um zwei Plätze auf den neunten Rang, und der öffentliche Sektor sprang um zwei Plätze nach oben und vervollständigte die zehn am häufigsten angegriffenen Branchen.

^{Die am häufigsten von DDoS-Angriffen betroffenen Branchen für Q2 2025}

Die Rangliste der zehn größten Ursprungsländer von DDoS-Angriffen im zweiten Quartal 2025 hat sich im Vergleich zum Vorquartal ebenfalls mehrfach verschoben. Indonesien kletterte um einen Platz auf den ersten Platz, Singapur sprang um zwei Plätze auf den zweiten Platz, Hongkong fiel um zwei Plätze auf den dritten Platz, Argentinien rutschte um einen Platz auf den vierten Platz und die Ukraine blieb das fünftgrößte Ursprungsland von DDoS-Angriffen. Russland stieg um sechs Plätze auf und wurde zur sechstgrößten Quelle, gefolgt von Ecuador, das um sieben Plätze nach oben sprang. Vietnam kletterte als Ursprungsland von Angriffen auf Rang acht. Die Niederlande sind als neuntgrößtes Ursprungsland von DDoS-Angriffen um vier Plätze nach oben gerückt, und Thailand ist als zehntgrößtes Ursprungsland von DDoS-Angriffen um drei Plätze abgefallen.

^{Die wichtigsten Ursprungsländer von DDoS-Angriffen im Q2 2025}

Es ist wichtig zu beachten, dass diese „Quell“-Ranglisten widerspiegeln, wo sich Botnet-Knoten, Proxy- oder VPN-Endpunkte befinden – nicht den tatsächlichen Standort der Bedrohungsakteure. Bei L3/4-DDoS-Angriffen, bei denen IP-Spoofing weit verbreitet ist, lokalisieren wir jedes Paket zu dem Cloudflare-Rechenzentrum, das es zuerst aufgenommen und blockiert hat, und nutzen dabei unsere Präsenz in über 330 Städten für eine wirklich hohe Genauigkeit.

Eine Autonomous System Number (ASN) ist eine eindeutige Kennung, die einem Netzwerk oder einer Gruppe von IP-Netzwerken zugewiesen wird, die unter einer einzigen Routing-Richtlinie im Internet betrieben werden. Es wird verwendet, um Routing-Informationen zwischen Systemen auszutauschen, indem Protokolle wie BGP (Border Gateway Protokoll) genutzt werden.

Zum ersten Mal seit etwa einem Jahr ist das in Deutschland ansässige Netzwerk Hetzner (AS24940) von der ersten Position als größte Quelle für HTTP-DDoS-Angriffe auf den dritten Platz zurückgefallen. An seiner Stelle sprang der in Österreich ansässige Anbieter Drei (AS200373) um sechs Plätze nach oben und ist nun die größte Quelle von HTTP-DDoS-Angriffen. Der US-amerikanische Anbieter DigitalOcean (AS14061) sprang um einen Platz auf Rang 2.

^{Die Top-10-ASN-Quellen von HTTP-DDoS-Angriffen}

Wie in der obigen Grafik zu sehen ist, bieten 8 von 10 der aufgeführten ASNs virtuelle Maschinen (VMs), Hosting- oder Cloud-Dienste an, was auf die häufige Nutzung von VM-basierten Botnets hindeutet. Diese Botnets sind schätzungsweise 5.000 Mal stärker als IoT-basierte Botnets. Nur Drei (AS200373) und ChinaNet Backbone (AS4134) sind in erster Linie Internet Service Provider oder Telekommunikations-Carrier ohne nennenswerte öffentliche VM/Cloud-Angebote.

^{IoT-basierte Botnets vs. VM-basierte Botnets}

Um Hosting-Anbietern, Cloud-Computing-Anbietern und Internet-Service-Providern dabei zu helfen, die missbräuchlichen Konten zu identifizieren und zu entfernen, die diese Angriffe starten, nutzen wir unseren einzigartigen Überblick, um einen kostenlosen DDoS-Botnet-Bedrohungsfeed für Service-Provider bereitzustellen. 3. Über 600 Organisationen weltweit haben sich diesem Feed angeschlossen – und die Gemeinschaft hat bereits erfolgreich Botnet-Knoten zerschlagen. Möglich wird dies durch den Bedrohungsfeed, der diesen Dienstanbietern eine Liste auffälliger IP-Adressen innerhalb ihres ASN bereitstellt, von denen wir HTTP-DDoS-Angriffe beobachten. Er ist völlig kostenlos und Sie müssen lediglich ein kostenloses Cloudflare-Konto eröffnen, die Autonomous System Number über PeeringDB authentifizieren und dann die Bedrohungsdaten über die API abrufen.

Mit einem einfachen API-Aufruf können Dienstanbieter eine Liste der auffälligen IP-Adressen aus ihrem Netzwerk abrufen. Ein Beispiel für eine solche Antwort sehen sie unten.

{
  "result": [
    {
      "cidr": "127.0.0.1/32",
      "date": "2024-05-05T00:00:00Z",
      "offense_count": 10000
    },
    // ... other entries ...
  ],
  "success": true,
  "errors": [],
  "messages": []
}

^{Beispielantwort von der kostenlosen DDoS-Botnet-Feed-API des Internet Service Providers}

Im zweiten Quartal 2025 wurde die Mehrheit (71 %) der HTTP-DDoS-Angriffe von bekannten Botnetzen gestartet. Die schnelle Erkennung und Blockierung dieser Angriffe war aufgrund des Betriebs eines riesigen Netzwerks und der Beobachtung vieler verschiedener Arten von Angriffen und Botnetzen möglich. Durch die Nutzung von Echtzeit-Bedrohungsdaten sind unsere Systeme in der Lage, DDoS-Botnetze sehr schnell zu identifizieren, was zu einer effektiveren Abwehr beiträgt. Selbst wenn ein DDoS-Botnetz nur eine einzelne Website oder IP-Adresse angreift, ist unser gesamtes Netzwerk und unsere gesamte Kundschaft sofort dagegen geschützt. Dieses System an Echtzeit-Bedrohungsdaten passt sich an Botnetze an, wenn diese sich verändern und Knoten wechseln.

^{Die wichtigsten HTTP-DDoS-Angriffsvektoren im Q2 2025}

Im zweiten Quartal 2025 waren DNS-Flood-Angriffe der wichtigste L3/4-Angriffsvektor und machten fast ein Drittel aller L3/4-DDoS-Angriffe aus. SYN-Floods waren der zweithäufigste Angriffsvektor, der von 31 % im ersten Quartal auf 27 % im zweiten Quartal zurückging. 

An dritter Stelle stehen UDP-Floods, die von 9 % im ersten Quartal auf 13 % im zweiten Quartal stiegen. RST-Floods, eine weitere Form von TCP-basierten DDoS-Angriffen, die 5 % aller L3/4-Angriffe ausmachten, waren der vierthäufigste Vektor. Die Top 5 werden durch SSDP-Floods abgerundet, die trotz eines Rückgangs von 4,3 % im letzten Quartal mit 3 % auf den fünften Platz vorrückten. Dies reichte aus, um die zuvor vorherrschenden Mirai-Angriffe (die von 18 % im ersten Quartal auf nur 2 % im zweiten Quartal zurückgingen) vollständig aus den Top 5 zu verdrängen.

^{Die wichtigsten L3/4-DDoS-Angriffsvektoren im Q2 2025}

Aufschlüsselung der drei führenden L3/4-DDoS-Angriffsvektoren

Nachfolgend sind Details zu den drei häufigsten L3/4-DDoS-Angriffen aufgeführt. Wir stellen Hinweise bereit, wie sich Organisationen davor schützen können, als Reflection- und Amplification-Element missbraucht zu werden, und wie sie sich gleichzeitig gegen Angriffe verteidigen können, ohne legitimen Traffic zu stören. Cloudflare-Kunden sind vor diesen Angriffen geschützt.

DNS-Flood-Angriff

• Typ: Flood

• Funktionsweise: Eine DNS-Flood zielt darauf ab, einen DNS-Server mit einer großen Menge an DNS-Abfragen – entweder gültig, zufällig oder fehlerhaft – zu überlasten, um CPU, Speicher oder Bandbreite zu erschöpfen. Im Gegensatz zu Amplification-Angriffen handelt es sich hierbei um eine direkte Flut, die darauf abzielt, die Performance zu beeinträchtigen oder Ausfälle zu verursachen, oft über UDP-Port 53, aber manchmal auch über TCP (insbesondere für DNS-over-TCP- oder DNSSEC-fähige Zonen).

• Wie Sie sich gegen den Angriff schützen: Verwenden Sie Cloudflare DNS als primäre oder sekundäre Lösung und Cloudflare DNS Firewall und/oder Cloudflare Magic Transit, um Abfrage-Floods zu absorbieren und zu bekämpfen, bevor sie Ihren Ursprungsserver erreichen. Das globale Netzwerk von Cloudflare verarbeitet Dutzende Millionen DNS-Anfragen pro Sekunde mit integrierter DDoS-Filterung und DNS-Zwischenspeicherung, wodurch fehlerhafter oder übermäßiger Datenverkehr blockiert wird, während legitime Anfragen beantwortet werden.

• So vermeiden Sie unbeabsichtigte Auswirkungen: Vermeiden Sie es, den gesamten DNS-Traffic zu blockieren oder den UDP-Port 53 zu deaktivieren, da dies die normale Namensauflösung beeinträchtigen würde. Verlassen Sie sich auf den DNS-spezifischen Schutz von Cloudflare, wie das Advanced DNS Protection-System, und setzen Sie DNSSEC-fähigen Schutz ein, um TCP-basierte Abfragefluten sicher zu bewältigen.

SYN-Flood-Angriff

• Typ: Flood

• Funktionsweise: Bei einer SYN-Flood senden Bedrohungsakteure eine große Menge an TCP-SYN-Paketen – oft mit gefälschten IP-Adressen –, um Verbindungen zu initiieren, die nie abgeschlossen werden. Dies führt dazu, dass das Zielsystem mit halboffenen Verbindungen zurückbleibt, die Speicher und Ressourcen für die Verbindungsverfolgung verbrauchen, was möglicherweise die Servergrenzen erschöpft und echte Clients daran hindert, sich zu verbinden.

• Wie Sie sich gegen den Angriff schützen: Verwenden Sie Cloudflare Magic Transit, um TCP SYN-Floods an der Edge abzufangen und zu bekämpfen. Cloudflare nutzt SYN-Cookies, Verbindungsverfolgung und Verhaltensanalysen, um echte Clients von gefälschten oder bösartigen Quellen zu unterscheiden und sicherzustellen, dass legitime TCP-Verbindungen erfolgreich abgeschlossen werden. Mit den CDN/WAF-Diensten von Cloudflare oder Cloudflare Spectrum, die beide Reverse-Proxy-Dienste für HTTP bzw. TCP sind. Die Verwendung eines Reverse-Proxys eliminiert grundsätzlich die möglichen Auswirkungen von TCP-basierten DDoS-Angriffen.

• So vermeiden Sie unbeabsichtigte Auswirkungen: Das Blockieren des gesamten SYN-Traffics oder das Anwenden aggressiver Timeouts kann echte Nutzer blockieren. Verlassen Sie sich stattdessen auf das erweiterte TCP-Schutzsystem von Cloudflare, das SYN-Rate-Shaping, Anomalieerkennung und Spoofing-Paketfilterung verwendet, um Angriffe zu mildern, ohne echte Client-Verbindungen zu beeinträchtigen.

UDP-DDoS-Angriff

• Typ: Flood

• Funktionsweise: Eine große Menge an UDP-Paketen wird an zufällige oder bestimmte Ports der Ziel-IP-Adresse(n) gesendet. Es kann versucht werden, die Internetverbindung zu sättigen oder die Inline-Appliances mit mehr Paketen zu überlasten, als sie verarbeiten können, um Störungen oder einen Ausfall zu verursachen.

• Wie Sie sich gegen den Angriff schützen: Setzen Sie cloudbasierten volumetrischen DDoS-Schutz ein, der den Angriffstraffic in Echtzeit identifizieren kann, wie Cloudflare Magic Transit oder Cloudflare Spectrum. Wenden Sie intelligentes Rate-Limiting auf UDP-Traffic an und blockieren Sie unerwünschten UDP-Traffic vollständig mit der Magic Firewall.

• So vermeiden Sie unbeabsichtigte Auswirkungen: Aggressives Filtern verursacht unter Umständen Störungen legitimer UDP-Dienste wie VoIP, Videokonferenzen oder Online-Spiele. Deshalb sollten Sie bei der Festlegung von Schwellenwerten umsichtig sein.

Unter den neuen L3/4-DDoS-Bedrohungen im Q2 2025 verzeichnete die Teeworlds-Flood den größten Anstieg. Diese Angriffe stiegen im Quartalsvergleich um 385 %, gefolgt von der RIPv1-Flood, die um 296 % zulegte. RDP-Floods stiegen um 173 % und Demon Bot-Floods nahmen um 149 % zu. Sogar die altehrwürdige VxWorks-Flood feierte ein Comeback und stieg im Vergleich zum Vorquartal um 71 %. Diese dramatischen Anstiege verdeutlichen das fortwährende Experimentieren von Bedrohungsakteuren mit weniger bekannten und veralteten Protokollen, um die gängigsten Abwehrmechanismen zu umgehen.

^{Die wichtigsten neuen Bedrohungen im Q2 2025}

Aufschlüsselung der wichtigsten neuen Bedrohungen

Im Folgenden finden Sie Details zu den aufkommenden Bedrohungen für das zweite Quartal 2025, wobei hauptsächlich sehr alte Angriffsvektoren wiederverwendet werden. Wir stellen Hinweise bereit, wie sich Organisationen davor schützen können, als Reflection- und Amplification-Element missbraucht zu werden, und wie sie sich gleichzeitig gegen Angriffe verteidigen können, ohne legitimen Traffic zu stören. Cloudflare-Kunden sind vor diesen Angriffen geschützt.

• Typ: Flood

• Funktionsweise: Teeworlds ist ein rasantes Open-Source-2D-Multiplayer-Shooter-Spiel, das ein benutzerdefiniertes UDP-basiertes Protokoll für Echtzeit-Gameplay verwendet. Bedrohungsakteure überfluten den Spielserver des Ziels mit gefälschten oder übermäßigen UDP-Paketen, die Spielaktionen oder Verbindungsversuche nachahmen. Dies kann Serverressourcen überlasten und Verzögerungen oder Ausfälle verursachen.

• Wie Sie sich gegen den Angriff schützen: Verwenden Sie Cloudflare Spectrum oder Cloudflare Magic Transit, um die Server zu schützen. Cloudflare erkennt und mildert diese Arten von Angriffen automatisch durch Echtzeit-Fingerabdruckerkennung, wobei Angriffsverkehr blockiert wird, während echte Spieler durchgelassen werden. Magic Transit bietet auch eine Paket-Firewall-Funktion, die Magic Firewall, mit der ein benutzerdefinierter Schutz erstellt werden kann.

• So vermeiden Sie unbeabsichtigte Auswirkungen: Beim Erstellen benutzerdefinierter Regeln sollte das Blockieren oder aggressive UDP Rate Limiting von Port 8303 vermieden werden, da dies das gesamte Spielerlebnis beeinträchtigen kann. Verlassen Sie sich stattdessen auf intelligente Erkennungs- und Abwehrdienste, um zu vermeiden, dass legitime Nutzer beeinträchtigt werden.

^{Teeworlds Screenshot Jungle. Quelle: Wikipedia}

RIPv1-DDoS-Angriff

• Typ: Reflexion + (leichte) Amplification

• Funktionsweise: Ausgenutzt wird das Routing Information Protocol Version 1 (RIPv1): ein altes, nicht authentifiziertes Distanzvektor-Routingprotokoll, das UDP/520 verwendet. Bedrohungsakteure senden gefälschte Routing-Updates, um Netzwerke damit zu fluten oder Verwirrung zu stiften.

• So vermeiden Sie, als Reflection/Amplification-Element missbraucht zu werden: Deaktivieren Sie RIPv1 bei Ihren Routern und nutzen Sie dort, wo Routing erforderlich ist, stattdessen RIPv2.

• Wie Sie sich gegen den Angriff schützen: Blockieren Sie eingehende UDP/520-Verbindungen von nicht vertrauenswürdigen Netzwerken. Halten Sie Ausschau nach unerwarteten Routing-Updates.

• So vermeiden Sie unbeabsichtigte Auswirkungen: RIPv1 ist größtenteils veraltet, die Deaktivierung birgt normalerweise keine Gefahr. Falls Altsysteme jedoch auf diese Protokollversion zurückgreifen, sollten Sie vor der Vornahme von Änderungen das Routing-Verhalten überprüfen.

RDP-DDoS-Angriff

• Typ: Reflection und Amplification

• Funktionsweise: Das Remote Desktop Protocol (RDP) wird für den Fernzugriff auf Windows-Systeme verwendet und läuft normalerweise über den TCP-Port 3389. In einigen falsch konfigurierten oder veralteten Setups kann RDP auf nicht authentifizierte Verbindungsversuche reagieren, was einen Missbrauch für Reflection- oder Amplification-Angriffe ermöglicht. Bedrohungsakteure senden gefälschte RDP-Startpakete an exponierte Server, wodurch diese einem Opfer antworten und große Mengen unerwünschten Datenverkehrs erzeugen.

• Wie Sie sich gegen den Angriff schützen: Schützen Sie Ihre Netzwerkinfrastruktur mit Cloudflare Magic Transit. Magic Transit bietet DDoS-Schutz auf Schicht 3 und 4 und filtert gefälschten oder fehlerhaften RDP-Traffic heraus, bevor er Ihren Ursprungsserver erreicht. Für gezielten Missbrauch auf der Anwendungsschicht können Cloudflare Gateway oder Zero Trust-Netzwerkzugang (ZTNA) helfen, den Remote-Desktop-Zugriff hinter authentifizierten Tunneln zu sichern.

• So vermeiden Sie unbeabsichtigte Auswirkungen: Blockieren Sie TCP/3389 nicht global, wenn RDP aktiv genutzt wird. Beschränken Sie stattdessen den RDP-Zugriff auf bekannte IP-Adressen oder interne Netzwerke oder verwenden Sie Cloudflare Tunnel mit Zero Trust-Netzwerkzugang (ZTNA), um die öffentliche Exposition vollständig zu entfernen und gleichzeitig einen sicheren Zugang für legitime Nutzer zu gewährleisten.

DemonBot-DDoS-Angriff

• Typ: Botnet-basierte Flood

• Funktionsweise: DemonBot ist ein Schadsoftware-Stamm, der Linux-basierte Systeme – insbesondere ungesicherte IoT-Geräte – über offene Ports oder schwache Anmeldedaten infiziert. Einmal infiziert, werden die Geräte Teil eines Botnets, das UDP-, TCP- und Application-Layer-Floods in großem Umfang starten kann. Angriffe werden typischerweise durch Command-and-Control (C2) gesteuert und können erheblichen volumetrischen Datenverkehr erzeugen, der häufig auf Gaming-, Hosting- oder Unternehmensdienste abzielt. Nutzen Sie Antivirensoftware und Domain-Filterung, um eine Infektion zu vermeiden. 

• Wie Sie sich gegen den Angriff schützen: Verwenden Sie Cloudflare Magic Transit, um groß angelegte Netzwerkebenen-Floods zu absorbieren und zu filtern, bevor sie Ihre Infrastruktur erreichen. Die Echtzeit-Traffic-Analyse und signaturbasierte Erkennung von Cloudflare neutralisieren den von DemonBot-infizierten Geräten ausgehenden Traffic. Bei Diensten auf Anwendungsschicht können Cloudflares DDoS-Schutz und WAF gezielte HTTP-Floods und Verbindungsmissbrauch bekämpfen.

• So vermeiden Sie unbeabsichtigte Auswirkungen: Anstatt Traffic-Arten oder Ports umfassend zu blockieren sollten Sie sich auf die adaptive Abwehr von Cloudflare verlassen, um zwischen legitimen Nutzern und Botnet-Traffic zu unterscheiden. Kombinieren Sie dies mit IP-Reputationsfilterung, Geoblocking und Rate Limiting, um Fehlalarme zu reduzieren und die Verfügbarkeit des Dienstes aufrechtzuerhalten.

VxWorks-Flood-DDoS-Angriff

• Typ: Flood (IoT-basiert)

• Funktionsweise: VxWorks ist ein Echtzeitbetriebssystem (RTOS), das in Millionen von eingebetteten und IoT-Geräten (z. B. Routern, Industriesteuerungen) verwendet wird. Geräte, auf denen veraltete oder falsch konfigurierte Versionen von VxWorks laufen, können kompromittiert und bei DDoS-Angriffen verwendet werden. Sobald sie infiziert sind – oft durch öffentliche Exploits oder schwache Anmeldeinformationen – senden sie große Mengen an UDP-, TCP- oder ICMP-Datenverkehr, um die Ziele zu überlasten, ähnlich wie herkömmliche IoT-Botnets.

• Wie Sie sich gegen den Angriff schützen: Setzen Sie Cloudflare Magic Transit ein, um volumetrischen Traffic am Netzwerkrand zu blockieren. Cloudflare verwendet Echtzeit-Fingerprinting und proprietäre Heuristiken, um den Datenverkehr von kompromittierten VxWorks-Geräten zu identifizieren und ihn in Echtzeit abzuwehren. Für Anwendungsdienste bieten die DDoS-Abwehr - und Gateway-Dienste von Cloudflare zusätzlichen Schutz vor Missbrauch auf Protokollebene.

• So vermeiden Sie unbeabsichtigte Auswirkungen: Vermeiden Sie eine übermäßige Blockierung von UDP- oder ICMP-Datenverkehr, da dies legitime Diagnose- oder Echtzeitdienste stören kann. Verwenden Sie stattdessen die intelligenten Filter, das Cloudflare Rate Limiting und die Geo/IP-Reputationstools von Cloudflare, um Angriffe sicher abzuwehren und gleichzeitig Auswirkungen auf legitimen Datenverkehr zu vermeiden.

^{Der Ablauf der Echtzeit-Fingerprint-Generierung von Cloudflare}

Die meisten DDoS-Angriffe sind klein und kurz. Im 2. Quartal 2025 haben 94 % der L3/4-DDoS-Angriffe 500 Mbit/s nicht überschritten. Ähnlich überstiegen etwa 85 % der L3/4-DDoS-Angriffe nicht 50.000 pps. Die Mehrheit der HTTP-DDoS-Angriffe ist ebenfalls klein, 65 % bleiben unter 50.000 Anfragen pro Sekunde. „Klein“ ist jedoch ein relativer Begriff.

Ein durchschnittlicher moderner Server bezieht sich typischerweise auf eine physische oder virtuelle Allzweckmaschine mit etwa 4‑8 CPU-Kernen (z. B. Intel Xeon Silver), 16‑64 GB RAM und eine 1-Gbit/s-Netzwerkkarte, die ein Linux-Betriebssystem wie Ubuntu oder CentOS mit NGINX oder ähnlicher Software ausführt. Diese Konfiguration kann etwa 100.000–500.000 Pakete pro Sekunde verarbeiten, bis zu ~940 Mbit/s Durchsatz erreichen und je nach Feinabstimmung und Auslastung rund 10.000–100.000 Anfragen pro Sekunde für statische Inhalte oder 500–1.000 rps für datenbankgestützte dynamische Anwendungen bewältigen.

Angenommen, der Server wird nicht durch einen cloudbasierten DDoS-Schutzdienst geschützt und wird zu Spitzenzeiten von „kleinen“ DDoS-Angriffen angegriffen, ist es sehr wahrscheinlich, dass der Server diese nicht bewältigen kann. Selbst „kleine“ DDoS-Angriffe können erhebliche Auswirkungen auf ungeschützte Server haben.

^{DDoS-Angriffsgröße und -dauer im Q2 2025}

Während die Mehrheit der DDoS-Angriffe klein ausfällt, nehmen hyper-volumetrische Angriffe in Größe und Häufigkeit zu. 6 von 100 HTTP-DDoS-Angriffen überschreiten 1 Mio. Anfragen pro Sekunde, und 5 von 10.000 L3/4-DDoS-Angriffen überschreiten 1 Tbit/s — ein Anstieg von 1.150 % gegenüber dem Vorquartal.

^{Der größte Angriff der Welt: 7,3 Tbit/s}

Die meisten DDoS-Angriffe sind von kurzer Dauer, selbst die größten und intensivsten. Bedrohungsakteure verlassen sich oft auf kurze Ausschläge konzentrierten Datenverkehrs – manchmal nur 45 Sekunden, wie bei dem monumentalen DDoS-Angriff mit 7,3 Tbit/s – um Entdeckung zu vermeiden, Ziele zu überlasten und maximale Störung zu verursachen, bevor die Abwehr vollständig aktiviert werden kann. Diese Taktik der kurzen, hochintensiven Angriffe erschwert die Erkennung und Abwehr und unterstreicht die Notwendigkeit eines ständig aktiven Echtzeitschutzes. Glücklicherweise greift die autonome DDoS-Abwehr von Cloudflare sofort ein.

Wir bei Cloudflare haben uns dem Ziel verschrieben, ein besseres Internet zu schaffen. Ein Teil dieser Mission besteht darin, kostenlosen und unbegrenzten DDoS-Schutz anzubieten, unabhängig von Größe, Dauer und Anzahl. Wir verteidigen uns (und unsere Kunden) nicht nur gegen DDoS-Angriffe. Die beste Verteidigung ist ein guter Angriff, und mit unserem kostenlosen Internet Service Provider Botnet-Bedrohungsfeed tragen wir zur Ausschaltung von Botnetzen bei. 

Während viele weiterhin nur reaktiv schützen oder auf veraltete Lösungen setzen, zeigen unsere Daten, dass eine proaktive, durchgehend aktive Sicherheitsstrategie deutlich wirksamer ist. Dank eines globalen Netzwerks mit 388 Tbit/s Bandbreite und Präsenz in über 330 Städten bieten wir eine in Echtzeit integrierte, bewährte Schutzlösung gegen sämtliche DDoS-Angriffsformen.