In Sachen DDoS-Angriffe wurde dieses Wochenende ein neuer Rekord aufgestellt. Während dieser zwei Tage erkannte und neutralisierte Cloudflare Dutzende von hochgradig volumetrischen DDoS-Attacken. Die Mehrheit erreichte ihren Höhepunkt bei ungefähr 50–70 Mio. Anfragen pro Sekunde und die größte überschritt die Marke von 71 Mio. Anfragen pro Sekunde. Dabei handelte es sich um den größten jemals vermeldeten HTTP-DDoS-Angriff, denn der vorherige, im Juni 2022 verbuchte Spitzenwert von 46 Mio. Anfragen pro Sekunde wurde damit noch einmal um 35 % übertroffen.
Die Angriffe waren HTTP/2-basiert, richteten sich gegen Websites, die durch Cloudflare geschützt wurden, und gingen von mehr als 30.000 IP-Adressen aus. Im Visier standen unter anderem ein beliebter Gaming-Anbieter, Kryptowährungsfirmen, Hosting-Provider und Cloud-Computing-Plattformen. Ausgangspunkt der Attacken waren diverse Cloud-Anbieter, die nun mit uns zusammenarbeiten, um das Botnetz unschädlich zu machen.
Rekord-DDoS-Angriff von mehr als 71 Mio. Anfragen pro Sekunde
Im vergangenen Jahr haben wir mehr Angriffe registriert, die von Cloud-Computing-Anbietern ausgingen. Deshalb werden wir Service-Providern, die ihr eigenes autonomes System nutzen, einen kostenlosen Botnetz-Bedrohungsfeed zur Verfügung stellen. Damit erhalten sie Bedrohungsdaten zu ihrem eigenen IP-Adressbereich – also zu Angriffen, deren Ursprung ihr autonomes System ist. Service-Anbieter mit eigenem IP-Adressbereich können sich jetzt auf die Early Access-Warteliste setzen lassen.
Besteht ein Zusammenhang zum Super Bowl oder zu Killnet?
Nein. Diese Angriffsserie wurde keine zwei Wochen nach der Killnet-DDoS-Kampagne, gegen Websites aus dem Gesundheitswesen ausgeführt. In Anbetracht der eingesetzten Methoden und der ausgewählten Ziele gehen wir nicht davon aus, dass zwischen den beiden Kampagnen eine Verbindung besteht. Auch zum gestrigen Super Bowl sehen wir keinen Zusammenhang.
Was versteht man unter DDoS-Angriffen?
Distributed Denial of Service (DDoS)-Angriffe sind Attacken aus dem Cyberspace, die darauf abzielen, Internetpräsenzen lahmzulegen, sodass sie für die Nutzer nicht mehr erreichbar sind. Diese Art von Cyberangriffen können sehr wirkungsvoll sein, wenn sie ungeschützte Websites treffen. Zugleich ist der finanzielle Aufwand, sie auszuführen, unter Umständen ausgesprochen gering.
Bei einer HTTP-DDoS-Attacke wird normalerweise die anvisierte Seite mit HTTP-Anfragen bombardiert, um sie nach Möglichkeit zu überlasten. Ab einer bestimmten Menge ist der Server der Website dann nicht mehr in der Lage, alle im Rahmen des Angriffs gestellten Anfragen gemeinsam mit denen legitimer Nutzer noch zu bearbeiten. Die Folge: Die Website lädt für die User mit Verzögerung, sie verzeichnen Timeouts und können die gewünschte Seite zu guter Letzt gar nicht mehr erreichen.
Darstellung einer DDoS-Attacke
Um größere und komplexere Attacken ausführen zu können, wird normalerweise ein aus Bots bestehendes Netzwerk eingesetzt: ein sogenanntes Botnetz. Dieses wird dann so dirigiert, dass es die Website des Opfers mit HTTP-Anfragen regelrecht überschwemmt. Ein ausreichend großes und mächtiges Botnetz kann sehr umfangreiche Angriffe generieren, wie der vorliegende Fall zeigt.
Um solche Botnetze aufzubauen und zu betreiben, bedarf es jedoch größerer Investitionen und Sachkenntnis. Doch was, wenn man darüber nicht verfügt? Nun, wer einen DDoS-Angriff auf eine Website starten möchte, muss keineswegs bei Null anfangen. Tatsächlich gibt es unzählige „DDoS as a Service“-Plattformen, deren Dienste man teilweise schon für 30 USD im Monat nutzen kann. Je mehr man bezahlt, desto größer und länger ist der Angriff.
Was ist der Reiz von DDoS-Attacken?
In den letzten Jahren ist es leichter und günstiger geworden, DDoS-Angriffe auszuführen oder in Auftrag zu geben. Deshalb wollen wir dafür sorgen, dass es für diejenigen, die für den Schutz von Unternehmen gleich welcher Größe verantwortlich sind, noch einfacher wird, diese gegen DDoS-Angriffe aller Art abzuschirmen – und das kostenlos.
Im Gegensatz zu Ransomware-Attacken erfordern Ransom-DDoS-Angriffe kein tatsächliches Eindringen in das System und kein Einfallstor in das anvisierte Netzwerk. Normalerweise beginnen Ransomware-Attacken, wenn ein Mitarbeiter unbedacht einen Link in einer E-Mail anklickt, über den Malware installiert und anschließend verbreitet wird. Bei DDoS-Attacken ist so etwas nicht nötig. Sie sind eher mit einem plötzlichen Überfall zu vergleichen. Alles, was man dafür braucht, ist die (IP-)Adresse der Website.
Nehmen DDoS-Attacken zu?
Ja. Die Größe, Raffinesse und Häufigkeit von Angriffen haben in den letzten Monaten zugenommen. In unserem aktuellen Bericht zur DDoS-Bedrohungslandschaft wird ausgeführt, dass die Zahl der HTTP-DDoS-Attacken im Jahresvergleich um 79 % gestiegen ist. Bei volumetrischen Angriffen mit mehr als 100 Gbit/s ergab sich ein Plus von 67 % im Quartalsvergleich und bei Offensiven mit einer Dauer von über drei Stunden eine Steigerung um 87 % gegenüber den vorangegangenen drei Monaten.
Doch das ist noch nicht alles. Die Dreistigkeit der Angreifer hat ebenfalls zugenommen. Aus unserem Report geht auch hervor, dass die Zahl der Ransom-DDoS-Attacken im Jahresverlauf stetig angestiegen ist. Ihren Höhepunkt erreichten sie im November 2022, als jeder vierte von uns befragte Kunde berichtete, entweder Ziel von Ranson-DDoS-Angriffen zu sein oder damit bedroht zu werden.
Aufschlüsselung der Ransom-DDoS-Angriffe nach Monat
Sollte ich mir wegen DDoS-Angriffen Gedanken machen?
Unbedingt. Wenn Ihre Website, Ihr Server oder Ihre Netzwerke nicht durch einen mit automatischer Erkennung und Abwehr ausgestatteten Cloud-Dienst vor volumetrischen DDoS-Attacken abgeschirmt werden, legen wir Ihnen dringend ans Herz, über diese Option nachzudenken.
Cloudflare-Kunden müssen sich zwar keine Sorgen machen, sollten aber sensibilisiert und vorbereitet sein. Es folgt eine Liste der Maßnahmen, die empfohlen werden, um sicherzustellen, dass Sie über das optimale Sicherheitsniveau verfügen.
Was sollte ich unternehmen, um mich vor DDoS-Attacken zu schützen?
Unsere Systeme erkennen und neutralisieren solche DDoS-Angriffe.
Cloudflare verfügt aber auch über zahlreiche weitere Funktionen, die Ihnen womöglich bereits zur Verfügung stehen, ohne dass Sie sie nutzen. Als zusätzliche Sicherheitsmaßnahme empfiehlt es sich, diese Angebote auch einzusetzen, um das Sicherheitsniveau zu erhöhen und zu optimieren:
Vergewissern Sie sich, dass für den optimalen Schutz bei allen verwalteten Regeln zur DDoS-Abwehr die Voreinstellungen auswählt wurden (hohes Sensibilitätsniveau und starke Abwehrmaßnahmen).
Kunden, die die Enterprise-Tarifoption von Cloudflare nutzen und den erweiterten DDoS-Schutz abonniert haben, empfehlen wir die Aktivierung des adaptiven DDoS-Schutzes. Damit werden Angriffe auf Grundlage ihrer einzigartigen Traffic-Muster auf smartere Weise bekämpft.
Wenden Sie Firewall-Regeln und Regeln zur Durchsatzbegrenzung an, damit eine Kombination aus positivem und negativem Sicherheitsmodell durchgesetzt wird. Sie sollten zudem das für Ihre Website zugelassene Traffic-Volumen auf Grundlage Ihrer eigenen Nutzung begrenzen.
Achten Sie darauf, dass Ihr Ursprungsserver nicht dem öffentlichen Internet ausgesetzt ist (aktivieren Sie also nur den Zugang zu den IP-Adressen von Cloudflare). Als zusätzliche Sicherheitsvorkehrung möchten wir Ihnen außerdem raten, bei Ihren Hosting-Dienstleister neue IP-Adressen für den Ursprungsserver anzufordern, wenn diese bereits Ziele von direkten Angriffen waren.
Kunden mit Zugang zu verwalteten IP-Adresslisten sollten in Erwägung ziehen, diese für Firewall-Regeln heranzuziehen. Wer wiederum unser Bot-Management nutzt, sollte darüber nachdenken, die Bot-Scores in die Firewall-Regeln einfließen zu lassen.
Aktivieren Sie die Zwischenspeicherung so oft wie möglich, um Ihre Ursprungsserver zu entlasten. Und wenn Sie Workers verwenden, sollten Sie es vermeiden, Ihren Ursprungsserver mit mehr Unteranfragen als nötig zu beanspruchen.
Aktivieren Sie den DDoS-Alarm, um die Reaktionszeit zu verkürzen.
Vorbereitung auf die nächste DDoSS-Welle
Die Abwehr von DDoS-Angriffen ist von Unternehmen gleich welcher Größe von entscheidender Bedeutung. Die Attacken werden zwar von Menschen initiiert, ihre Ausführung übernehmen aber Bots. Um dagegen anzukommen, muss Feuer mit Feuer bekämpft werden. Deshalb müssen Erkennung und Abwehr so weit wie möglich automatisiert werden: Wenn man sich nur auf Menschen verlässt, die in Echtzeit in das Geschehen eingreifen müssen, sind die Verteidiger im Nachteil. Die automatisierten Systeme von Cloudflare erkennen und neutralisieren ständig DDoS-Angriffe, damit unsere Kunden es nicht tun müssen. Diese Automatisierung und unser breites Spektrum an Sicherheitsfunktionen erlaubt es unseren Kunden, den Schutz nach ihren Bedürfnissen auszugestalten.
Wir bieten allen unseren Kunden kostenlos unbeschränkten DDoS-Schutz ohne Volumenbegrenzung, und das seit dem Jahr 2017, in dem wir dieses Konzept als erste eingeführt haben. Cloudflare hat das Ziel, ein besseres Internet zu schaffen – eines, das für alle auf sicherere, schnellere und zuverlässigere Weise funktioniert, selbst angesichts von DDoS-Angriffen.