Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Cloudflare wehrt 26 Millionen Anfragen pro Sekunde starken DDoS-Angriff ab

2022-06-14

Lesezeit: 3 Min.

Aktualisierung vom 24. Juni 2022: Wir haben das Botnetz, das einen DDoS-Angriff mit 26 Millionen Anfragen pro Sekunde ausgeführt hat, „Mantis“ getauft, nach dem Fangschreckenkrebs: klein, aber sehr schlagkräftig. „Mantis“ war in der vergangenen Woche besonders aktiv und hat sowohl VoIP-Anwendungen als auch Kryptowährungswebsites mit HTTP-DDoS-Attacken von bis zu 9 Millionen Anfragen pro Sekunde ins Visier genommen.

Letzte Woche hat Cloudflare einen DDoS-Angriff mit 26 Millionen Anfragen pro Sekunde automatisch erkannt und abgewehrt. Dabei handelte es sich um die größte HTTPS-DDoS-Attacke, die jemals verzeichnet wurde.

Der Angriff zielte auf eine Kunden-Website ab, die den Free-Tarif von Cloudflare nutzt. Ähnlich wie ein vorangegangener Überfall mit 15 Millionen Anfragen pro Sekunde ging auch dieser seinen Ursprung im Wesentlichen nicht bei Internetdienstleistern, sondern bei Cloud-Providern. Das lässt darauf schließen, dass statt weitaus weniger mächtigen IoT (Internet of Things)-Geräten hier virtuelle Maschinen und leistungsstarke Server für den Angriff gekapert und eingesetzt wurden.

Nie dagewesene Dimension

Graph of the 26 million request per second DDoS attack

Vergangenes Jahr wurde ein Rekord-Angriff nach dem anderen verzeichnet. Im August 2021 etwa machten wir eine HTTP-DDoS-Attacke mit 17,2 Millionen Anfragen pro Sekunde öffentlich und im April 2022 einen HTTPS-DDoS-Angriff mit 15 Millionen Anfragen pro Sekunde. Diese wurden jeweils von unserem verwalteten Regelsatz für HTTP-DDoS-Attacken automatisch erkannt, der sich auf unserer autonomes DDoS-Schutzsystem an der Edge stützt.

Der DDoS-Angriff mit 26 Millionen Anfragen pro Sekunde wurde von einem kleinen, aber mächtigen Botnetz aus 5.067 Geräten ausgeführt. Auf dem Höhepunkt gingen von jedem Knoten ungefähr 5.200 Anfragen pro Sekunde aus. Zum Vergleich haben wir ein anderes, weitaus größeres, aber weniger wirkungsvolles Botnetz mit mehr als 730.000 Geräten verfolgt. Dieses war nicht in der Lage, mehr als eine Million Anfragen pro Sekunde zu generieren. Im Durchschnitt waren es nur ungefähr 1,3 Anfragen pro Sekunde und Gerät. Kurz gesagt verfügte das erste Botnetz aufgrund seiner virtuellen Maschinen und Server über eine im Schnitt 4.000 Mal höhere Schlagkraft.

Zu vermerken ist auch, dass dieser Angriff über HTTPS ausgeführt wurde. Solche DDoS-Überfälle sind aufgrund der erforderlichen Rechenressourcen teurer, weil der Aufbau einer sicheren verschlüsselten TLS-Verbindung mit höheren Kosten verbunden ist. Der finanzielle Aufwand ist nicht nur für die Angreifer höher, sondern auch für die Opfer, die die Attacke abwehren müssen. Wir haben in der Vergangenheit sehr große Angriffe über (unverschlüsselte) HTTP-Verbindungen registriert, doch diese Attacke stach aufgrund der für ihren Maßstab benötigten Ressourcen aus der Masse heraus.

Innerhalb von nicht einmal 30 Sekunden erzeugte dieses Botnetz über 212 Millionen HTTPS-Anfragen, die aus mehr als 1.500 Netzwerken in 121 Ländern stammten. Die größte Rolle spielten dabei Indonesien, die Vereinigten Staaten, Brasilien und Russland. Rund 3 % des Angriffs gingen von Tor-Knoten aus.

Die wichtigsten Ursprungsnetzwerke waren OVH (Autonomous System Number [ASN] 16276) aus Frankreich, Telkomnet (ASN 7713) aus Indonesien, iboss (ASN 137922) aus den USA und Ajeel (ASN 37284) aus Libyen.

Chart of the top source countries of the attack

Die DDoS-Bedrohungslandschaft

Chart of the top source networks of the attack

Wer sich mit der Abwehr von DDoS-Angriffen beschäftigt, muss zunächst die zugehörige Bedrohungslandschaft durchdringen. Wie unser aktueller Bericht zu DDoS-Trends zeigt, sind die meisten Attacken klein, d. h. es handelt sich um Cybervandalismus. Doch auch damit lässt sich Websites schwerer Schaden zufügen. Großangriffe wiederum nehmen an Umfang und Häufigkeit zu, sind aber nach wie vor kurz und schnell. Die Angreifer versuchen, mit ihrem Botnetz nur einmal und zügig, dafür aber mit voller Wucht zuzuschlagen, um nach Möglichkeit unter dem Radar zu bleiben.

DDoS-Attacken mögen von Menschen eingeleitet werden, ausgeführt werden sie jedoch von Maschinen. Bis auf der anderen Seite ein Mensch darauf reagieren kann, sind sie womöglich schon wieder vorüber. Und selbst eine kurze Attacke kann deutlich längere Netzwerk- und Anwendungsausfälle zur Folge haben, die Einnahmeverluste und Imageschäden bedeuten. Aus diesem Grund wird empfohlen, Websites und Internetanwendungen durch einen dauerhaft aktiven, automatischen Abwehrdienst zu schützen, der Angriffe ohne menschliches Zutun erkennen und neutralisieren kann.

Unser Ziel: ein besseres Internet

Bei Cloudflare wird unser Handeln grundsätzlich von dem Ziel bestimmt, ein besseres Internet zu schaffen. Daraus leitet sich auch die Vision des DDoS-Teams ab: Wir wollen, dass DDoS-Angriffe in der Zukunft folgenlos bleiben. Daher bieten wir einen hinsichtlich Zeit und Volumen unbegrenzten Schutz. Unsere Tarife gelten unabhängig von Größe, Anzahl und Dauer der Angriffe. In der heutigen Zeit ist das besonders wichtig, weil gerade zu beobachten ist, dass die Attacken an Größe und Frequenz zunehmen.

Sie nutzen Cloudflare noch nicht? Starten Sie jetzt mit unseren Free- und Pro-Tarifen zum Schutz Ihrer Websites oder kontaktieren Sie uns für umfassenden DDoS-Schutz für Ihr gesamtes Netzwerk mit Magic Transit.

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
DDoSBotnet (DE)Attacks (DE)Sicherheit

Folgen auf X

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

Verwandte Beiträge

20. November 2024 um 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...

06. November 2024 um 08:00

Exploring Internet traffic shifts and cyber attacks during the 2024 US election

Election Day 2024 in the US saw a surge in cyber activity. Cloudflare blocked several DDoS attacks on political and election sites, ensuring no impact. In this post, we analyze these attacks, as well Internet traffic increases across the US and other key trends....