Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Entwicklung der DDoS-Bedrohungslandschaft im zweiten Quartal 2022

2022-07-06

Lesezeit: 11 Min.
Dieser Beitrag ist auch auf English, 繁體中文, Français, 日本語, 한국어, Português, Español, und 简体中文 verfügbar.

Willkommen zu unserem DDoS-Bericht für das zweite Quartal 2022. Darin beschreiben wir Trends hinsichtlich der DDoS-Bedrohungslandschaft, die sich im globalen Cloudflare-Netzwerk beobachten ließen, und die von uns daraus gezogenen Schlüsse. Eine interaktive Version dieses Berichts ist auch bei Radar verfügbar.

DDoS attack trends for 2022 Q2

Im zweiten Quartal haben wir einige der größten Angriffen aller Zeiten registriert, darunter eine HTTPS-DDoS-Attacke mit 26 Millionen Anfragen pro Sekunde, die von Cloudflare automatisch erkannt und abgewehrt wurde. Neben fortgesetzten Angriffen auf die Ukraine und Russland hat sich zudem eine neue Ransom-DDoS-Angriffskampagne entwickelt.

Die wichtigsten Erkenntnisse auf einen Blick

Das Internet in Russland und der Ukraine

  • Der Krieg wird nicht nur physisch, sondern auch in der digitalen Welt ausgefochten. Dort zielen die Angriffe darauf ab, die Verbreitung von Informationen zu verhindern.

  • In der Ukraine waren im zweiten Quartal Rundfunk- und Medienunternehmen das häufigste Ziel von DDoS-Angriffen. Tatsächlich sind die fünf am stärksten betroffenen Branchen alle den Bereichen Online-/Internetmedien, Verlagswesen und Rundfunk zuzurechnen.

  • Demgegenüber sind in Russland die Online-Medien unter den Angriffszielen auf den dritten Platz zurückgefallen. Spitzenreiter war das Segment Banken, Finanzdienstleistungen und Versicherungen (Banking, Financial Services and Insurance – BFSI). Fast 45 % aller DDoS-Angriffe auf Anwendungsschicht richteten sich gegen diese Sparte. Am zweithäufigsten wurden in Russland Unternehmen im Bereich Kryptowährungen attackiert.

Erfahren Sie mehr darüber, was Cloudflare unternimmt, um das offene Internet in Russland aufrechtzuerhalten und Angriffe zu verhindern.

Ransom-DDoS-Angriff

  • Es war eine neue Welle von Ransom DDoS-Angriffen durch Akteure zu verzeichnen, die nach eigenen Angaben der „Fancy Lazarus“-Gruppe angehören.

  • Im Juni 2022 erreichten die Ransom-Angriffe den bisherigen Höchststand des Jahres: Jeder fünfte unter den Befragten, der eine DDoS-Attacke erlebt hat, gab an, einem Ransom-DDoS-Angriff oder ähnlich gearteten Bedrohungen ausgesetzt gewesen zu sein.

  • Insgesamt stieg der Anteil der Ransomware-DDoS-Angriffe vom ersten auf das zweite Quartal um 11 %.

DDoS-Angriffe auf Anwendungsschicht

  • Im Jahresvergleich erhöhten sich die DDoS-Angriffe auf Anwendungsschicht zwischen April und Juni 2022 um 72 %.

  • Am häufigsten waren Unternehmen in den USA betroffen, gefolgt von Zypern, Hongkong und China. Die Attacken auf Firmen in Zypern nahmen im Vergleich zum Vorjahreszeitraum um 166 % zu.

  • Im Branchenvergleich stand die Luft- und Raumfahrtindustrie im zweiten Quartal am stärksten im Fokus – gefolgt von der Internetbranche, dem BFSI-Sektor und dem Glücksspielsegment.

DDoS-Angriffe auf Netzwerkschicht

  • Die DDoS-Angriffe auf Netzwerkschicht erhöhten sich im zweiten Quartal 2022 gegenüber dem Vorjahr um 109 %. Gemessen an den vorangegangenen drei Monaten legten Attacken mit 100 Gbit/s und mehr um 8 % und Angriffe mit einer Dauer von mehr als drei Stunden um 12 % zu.

  • Am stärksten unter Beschuss standen die Telekommunikations-, Glücksspiel-, Informationstechnologie- und Dienstleistungsbranche.

  • Unternehmen in den USA waren am häufigsten betroffen, gefolgt von Firmen in China, Singapur und Deutschland.

Dieser Bericht beruht auf DDoS-Angriffen, die von den Schutzsystemen von Cloudflare automatisch erkannt und abgewehrt wurden. Wie dabei genau vorgegangen wurde, erfahren Sie in diesem vertiefenden Blog-Beitrag.

Wie wir DDoS-Angriffe messen, die in unserem Netzwerk registriert werden

Um Angriffstrends zu analysieren, berechnen wir die „DDoS-Aktivitätsrate“, die dem prozentualen Anteil des Angriffs-Traffics am gesamten Datenverkehr (Angriffs-Traffic + regulärer Traffic) in unserem globalen Netzwerk oder an einem konkreten Standort oder in einer bestimmten Kategorie entspricht. Wir messen die Prozentsätze, um eine statistische Normalisierung der Datensätze vorzunehmen und Verzerrungen zu vermeiden, die in den absoluten Zahlen auftreten, z. B. durch ein Cloudflare-Rechenzentrum, das insgesamt mehr Traffic und daher wahrscheinlich auch mehr Angriffe verzeichnet.

Ransom-Angriffe

Unsere Systeme analysieren ständig den Datenverkehr und wenden automatisch Schutzmaßnahmen an, wenn DDoS-Angriffe entdeckt werden. Jeder Kunde, der eine solche Attacke erlebt hat, wird zur Teilnahme an einer automatischen Umfrage aufgefordert. Diese hilft uns dabei, die Art des Angriffs und den Erfolg der Abwehrmaßnahmen besser einzuschätzen.

Seit über zwei Jahren befragt Cloudflare angegriffene Kunden danach, ob ihnen mit einem DDoS-Angriff gedroht wurde oder ihnen in Aussicht gestellt wurde, dass sie einen solchen durch Zahlung eines Lösegelds abwenden bzw. beenden können.

Die Anzahl der Befragten, die im Berichtszeitraum entsprechende Drohungen oder Lösegeldforderungen meldeten, steigerte sich um jeweils 11 % im Quartals- und Jahresvergleich. Im zweiten Jahresviertel haben wir Ransomware-DDoS-Angriffe von Akteuren abgewehrt, die behaupten, der APT (Advanced Persistent Threat)-Gruppe „Fancy Lazarus“ anzugehören. Die jüngste Kampagne konzentriert sich auf Finanzinstitute und Unternehmen im Bereich Kryptowährungen.

Der Anteil der Befragten, die nach eigenen Angaben von einem Ransom-DDoS-Angriff betroffen waren oder vor einem solchen Angriff Drohungen erhalten haben.

Graph of ransom DDoS attacks by quarter

Im Juni gab unter den Befragten jeder fünfte an, einen Ransom-DDoS-Angriff erlebt oder eine entsprechende Drohung erhalten zu haben. Dies ist der höchste Wert seit Dezember 2021.

DDoS-Angriffe auf Anwendungsschicht

Graph of ransom DDoS attacks by month

DDoS-Angriffe auf Anwendungsschicht – genauer gesagt HTTP-DDoS-Attacken – sind normalerweise Versuche, einen Webserver zu stören, sodass er keine legitimen Nutzer-Anfragen mehr verarbeiten kann: Wenn ein Server eine Flut von Anfragen erhält und nicht alle bearbeiten kann, verwirft er legitime Anfragen und stürzt in manchen Fällen sogar ab. Für die Nutzer hat das eine schlechtere Performance oder einen Ausfall zur Folge.

Darstellung eines DDoS-Angriffs, der für legitime Nutzer zu Ausfällen führt

A diagram of a DDoS attack denying service to legitimate users

DDoS-Angriffe auf Anwendungsschicht aufgeschlüsselt nach Monat

Im Jahresvergleich erhöhten sich die DDoS-Angriffe auf Anwendungsschicht zwischen April und Juni 2022 um 72 %.

Gemessen an den vorangegangenen drei Monaten ergab sich dagegen ein Rückgang um 5 %. Die höchste Angriffsaktivität des zweiten Quartals wurde im Mai registriert, denn in diesem Monat fanden fast 41 % aller DDoS-Attacken auf Anwendungsschicht statt, während die wenigsten Angriffe im Juni erfolgten (28 %).

Graph of the yearly distribution of application-layer DDoS attacks by month in the past 12 months

Aufschlüsselung der DDoS-Angriffe auf Anwendungsschicht für die letzten zwölf Monate

DDoS-Angriffe auf Anwendungsschicht aufgeschlüsselt nach Branche

Die Angriffe auf die Luft- und Raumfahrtindustrie sind gegenüber dem Vorquartal um 493 % gestiegen.

Graph of the distribution of HTTP DDoS attacks by industry in 2022 Q2

Die Branche war im Berichtszeitraum Spitzenreiter bei DDoS-Angriffen auf Anwendungsschicht. Dahinter folgten der Internetsektor, das Segment BFSI und an vierter Stelle die Glücksspielindustrie.

Aufschlüsselung der HTTP-DDoS-Angriffe nach Branchen im zweiten Quartal 2022

Der Cyberspace in Russland und der Ukraine

Graph of the distribution of HTTP DDoS attacks on Ukrainian industries by source country in 2022 Q2

In der Ukraine stehen Medien- und Verlagsunternehmen am stärksten im Fadenkreuz.

Graph of the distribution of HTTP DDoS attacks on Russian industries by source country in 2022 Q2

Der Krieg tobt dort nicht nur am Boden, in der Luft und auf dem Wasser, sondern auch im Cyberspace. Akteure, die es auf ukrainische Firmen abgesehen haben, scheinen zu versuchen, Informationen zu unterdrücken. Die fünf am häufigsten angegriffenen ukrainischen Branchen stehen alle mit Rundfunk, Internet, Online-Medien und dem Verlagswesen in Verbindung. Auf diese Bereiche entfallen fast 80 % aller DDoS-Attackenn auf die Ukraine.

Aufschlüsselung der HTTP-DDoS-Angriffe auf ukrainische Branchen nach Ursprungsland im zweiten Quartal 2022

Was die andere Kriegspartei betrifft, stand in Russland der Bereich BFSI am stärksten unter digitalem Beschuss, denn fast 45 % aller DDoS-Angriffe richteten sich gegen diesen Sektor. Das zweithäufigste Angriffsziel war das Segment Kryptowährungen, gefolgt von Online-Medien.

Aufschlüsselung der HTTP-DDoS-Angriffe auf russische Branchen nach Ursprungsland im zweiten Quartal 2022

Auf beiden Seiten ist zu beobachten, dass die Angriffe in hohem Maße dezentral sind, was auf den Einsatz global verteilter Botnetze hindeutet.

Graph of the distribution of HTTP DDoS attacks by source country in 2022 Q2

DDoS-Angriffe auf Anwendungsschicht aufgeschlüsselt nach Ursprungsland

Die Attacken aus China sind im Zeitraum April bis Juni 2022 um 78 % gesunken, während von den Vereinigten Staaten ausgehende Angriffe um 43 % abgenommen haben.

Um die Herkunft der HTTP-Attacken zu ermitteln, nutzen wir die Geolokalisierungsdaten der Ursprungs-IP-Adresse des Clients, von dem die für den Angriff eingesetzten HTTP-Anfragen versandt wurden. Anders als bei Angriffen auf Netzwerkschicht können Ursprungs-IP-Adressen bei HTTP-Angriffen nicht gefälscht werden. Entfällt ein hoher Anteil der DDoS-Aktivität auf ein bestimmtes Land, heißt das nicht zwangsläufig, dass die Angriffe tatsächlich alle von diesem Land ausgehen. Vielmehr deutet dies auf den Einsatz von Botnetzen hin, die aus diesem Staat heraus agieren bzw. dort betrieben werden.

Graph of the distribution of HTTP DDoS attacks by target country in 2022 Q2

Die USA waren das zweite Quartal in Folge die größte Quelle von HTTP-DDoS-Angriffen. Es folgen China auf Rang zwei sowie Indien und Deutschland auf dem dritten und vierten Platz. Obwohl die Vereinigten Staaten weiterhin das Ranking anführen, gingen die US-amerikanischen Angriffe im Quartalsvergleich um 48 % zurück. Ein Zuwachs wurde dagegen bei den Attacken aus anderen Regionen verbucht, etwa aus Indien (+87 %), Deutschland (+33 %) und Brasilien (+67 %) verbucht.

Aufschlüsselung der HTTP-DDoS-Angriffe nach Ursprungsland im zweiten Quartal 2022

DDoS-Angriffe auf Anwendungsschicht aufgeschlüsselt nach Zielland

Um herauszufinden, auf welche Länder die meisten HTTP-DDoS-Angriffe abzielen, haben wir die Attacken nach den Ländern der Rechnungsadressen unserer Kunden aufgeschlüsselt und ihren prozentualen Anteil an allen DDoS-Angriffen dargestellt.

HTTP-DDoS-Angriffe auf Unternehmen mit Sitz in den USA nahmen im Quartalsvergleich um 67 % zu und brachten die Vereinigten Staaten wieder auf den ersten Platz als Hauptziel von DDoS-Angriffen auf Anwendungsschicht. Die Attacken auf chinesische Firmen sind im Quartalsvergleich um 80 % gesunken, sodass die Volksrepublik vom ersten auf den vierten Platz zurückgefallen ist. Die Angriffe auf Zypern haben sich hingegen um 167 % erhöht, was dem Land im zweiten Quartal Rang zwei bescherte. Es folgen Hongkong, China und die Niederlande.

Graph of the yearly distribution of network-layer DDoS attacks by month in the past 12 months

Aufschlüsselung der HTTP-DDoS-Angriffe nach Zielland im zweiten Quartal 2022

DDoS-Angriffe auf Netzwerkschicht

Bei Angriffen auf Anwendungsschicht (Layer 7 im OSI-Modell) sind die Dienste betroffen, auf die Endnutzer zugreifen wollen (in unserem Fall HTTP/S). Demgegenüber zielen Attacken auf Netzwerkschicht auf eine Überlastung der Netzwerkinfrastruktur (wie Router und Server innerhalb des Netzwerkpfads) und der Internetverbindung selbst ab.

Graph of the distribution of network-layer DDoS attack bytes by industry in 2022 Q2

DDoS-Angriffe auf Netzwerkschicht aufgeschlüsselt nach Monat

Im zweiten Quartal nahmen DDoS-Angriffe auf Netzwerkschicht um 109 % im Jahresvergleich zu. Volumetrische Angriffe von 100 Gbit/s und mehr stiegen gemessen am ersten Jahresviertel 2022 um 8 %.

Die Gesamtzahl der DDoS-Angriffe auf Netzwerkschicht erhöhte sich um 109 % im Jahres- und 15 % im Quartalsvergleich. Der April war der ereignisreichste Monat des Quartals, denn in diesem Zeitraum fanden fast 36 % der Angriffe statt.

Graph of the distribution of network-layer DDoS attack bytes by target country in 2022 Q2

Aufschlüsselung der DDoS-Angriffe auf Netzwerkschicht für die letzten zwölf Monate

DDoS-Angriffe auf Netzwerkschicht aufgeschlüsselt nach Branche

Im zweiten Jahresviertel 2022 wurden 66 % mehr Angriffe auf Telekommunikationsunternehmen verzeichnet als im ersten.

Zum zweiten Mal in Folge war die Telekommunikationsbranche das beliebteste Ziel von DDoS-Angriffen auf Netzwerkschicht. Mehr noch: Die Angriffe auf Telekommunikationsunternehmen stiegen um 66 % im Vergleich zum Vorquartal. Die Glücksspielindustrie belegte den zweiten Platz, gefolgt von Firmen aus dem Bereich Informationstechnologie und Dienstleistungen.

Aufschlüsselung des Bytes-Volumens von DDoS-Angriffen auf Netzwerkschicht nach Branchen im zweiten Quartal 2022

DDoS-Angriffe auf Netzwerkschicht aufgeschlüsselt nach Zielland

Graph of the distribution of network-layer DDoS attacks by source country in 2022 Q2
Map of the distribution of network-layer DDoS attacks by source country in 2022 Q2

Die Angriffe auf US-Netzwerke stiegen im Quartalsvergleich um 95 %.

Im Zeitraum April bis Juni waren erneut die die Vereinigten Staaten das Land, das am meisten angegriffen wurde. Darauf folgten China, Singapur und Deutschland.

Aufschlüsselung des Bytes-Volumens von DDoS-Angriffen auf Netzwerkschicht nach Zielland im zweiten Quartal 2022

DDoS-Angriffe auf der Netzwerkschicht aufgeschlüsselt nach Land, aus dem der Traffic eingeht

Im Berichtszeitraum waren fast ein Drittel des von Cloudflare in Palästina und ein Viertel des in Aserbaidschan beobachteten Datenverkehrs Teil eines DDoS-Angriffs auf Netzwerkschicht.

Wenn wir versuchen zu verstehen, wo DDoS-Angriffe auf Netzwerkschicht ihren Ursprung haben, können wir nicht dieselbe Methode anwenden wie bei der Analyse von Angriffen auf Anwendungsschicht. Um einen DDoS-Angriff auf Anwendungsschicht zu starten, müssen zur Herstellung einer HTTP/S-Verbindung erfolgreiche Handshakes zwischen dem Client und dem Server stattfinden. Dies ist nur möglich, wenn die Angreifer ihre Ursprungs-IP-Adresse nicht fälschen. Der Angreifer kann seine Identität zwar unter anderem mit Botnets und Proxys verschleiern, aber die Ursprungs-IP-Adresse des angreifenden Clients bildet die Angriffsquelle von DDoS-Angriffen auf Anwendungsschicht in ausreichendem Maße ab.

Graph of the top network-layer DDoS attack vectors in 2022 Q2

Andererseits ist für DDoS-Angriffe auf Netzwerkschicht in den meisten Fällen kein Handshake erforderlich. Angreifer können die Usprungs-IP-Adresse fälschen, um die Herkunft des Angriffs zu verschleiern und Zufälligkeit in die Angriffseigenschaften zu bringen. Dies kann es für einfache DDoS-Schutzsysteme schwieriger machen, die Attacke zu blockieren. Würden wir also das Herkunftsland aus einer gefälschten Ursprungs-IP ableiten, kämen wir zu einem falschen Ergebnis.

Aus diesem Grund haben wir bei der Analyse der Quellen von DDoS-Angriffen auf Netzwerkschicht den Datenverkehr nicht nach den (potenziell) gefälschten Usprungs-IPs aufgeschlüsselt, sondern nach den Standorten der Cloudflare-Rechenzentren, bei denen der Datenverkehr eingegangen ist. Da wir über Rechenzentren in über 270 Städten auf der ganzen Welt verfügen, können wir in unserem Bericht eine große geografische Genauigkeit erreichen. Doch selbst diese Methode ist nicht zu 100 % exakt, da der Datenverkehr aus diversen Gründen (von Kosteneinsparungen bis hin zum Überlastungs- und Ausfallmanagement) über verschiedene Internetdienstanbieter und Länder umgeleitet werden kann.

Palästina steigt als Cloudflare-Standort mit dem höchsten Prozentsatz an DDoS-Angriffen auf Netzwerkschicht vom zweiten auf den ersten Platz auf. Dahinter folgen Aserbaidschan, Südkorea und Angola.

Aufschlüsselung der DDoS-Angriffe auf Netzwerkschicht nach Ursprungsland im zweiten Quartal 2022

Graph of the top emerging network-layer DDoS attack threats in 2022 Q2

Karte zu den DDoS-Angriffen auf Netzwerkschicht nach Ursprungsland im zweiten Quartal 2022

Sie möchten sich alle Regionen und Länder ansehen? Benutzen Sie hierzu unsere interaktive Karte.

Angriffsvektoren

DNS-Attacken haben im zweiten Quartal zugenommen und sind zum zweithäufigsten Angriffsvektor aufgestiegen.

Ein Angriffsvektor bezeichnet die für einen DDoS-Angriff eingesetzte Methode, wobei als Kriterien unter anderem das IP-Protokoll, Paketattribute wie TCP-Flags und die Flooding-Methode herangezogen werden.

Im zweiten Quartal handelte es sich bei 53 % aller Angriffe auf Netzwerkschicht um SYN-Floods. Diese sind damit nach wie vor der beliebteste Angriffsvektor. Sie missbrauchen die erste Verbindungsanfrage zur Durchführung des zustandsabhängigen TCP-Handshake. Während dieser ersten Verbindungsanfrage verfügen Server noch über keinen Kontext bezüglich der TCP-Verbindung, da diese neu ist. Ohne den richtigen Schutz kann es ihnen daher schwer fallen, eine Flut von ersten Verbindungsanfragen abzuwehren. Dies macht es dem Angreifer leichter, die Ressourcen eines ungeschützten Servers voll zu beanspruchen.

Hinter den SYN-Floods folgen Angriffe auf die DNS-Infrastruktur, RST-Floods, die wiederum den TCP-Verbindungsfluss missbrauchen, und generische Angriffe über UDP.

Die wichtigsten Angriffsvektoren bei DDoS-Attacken auf Netzwerkschicht im zweiten Quartal 2022

Neue Bedrohungen

Angriffe mittels CHARGEN, Ubiquiti und Memcached gehörten im zweiten Quartal zu den wichtigsten neuen Bedrohungen.

Die Identifizierung der wichtigsten Angriffsvektoren erleichtert es Unternehmen, die Bedrohungslandschaft zu verstehen. Dies wiederum kann ihnen helfen, ihr Sicherheitsniveau zu verbessern, um sich vor diesen Bedrohungen zu schützen. Ebenso kann das Wissen um neu aufkommende Bedrohungen, die vielleicht noch keinen großen Teil der Angriffe ausmachen, zu ihrer frühzeitigen Neutralisierung beitragen.  

Im zweiten Quartal waren die wichtigsten neuen Bedrohungen Amplification-Angriffe, die das Character Generator Protocol (CHARGEN) missbrauchen, Amplification-Angriffe, die den Datenverkehr von ungeschützten Ubiquiti-Geräten reflektieren, und der berüchtigte Memcached-Angriff.

Die wichtigsten neuen DDoS-Angriffe auf Netzwerkschicht im zweiten Quartal 2022

Missbrauch des CHARGEN-Protokolls zur Durchführung von Amplification-Angriffen

Die Angriffe, bei denen das CHARGEN-Protokoll missbraucht wurde, haben vom ersten auf das zweite Quartal um 378 % zugenommen.

Das ursprünglich in RFC 864 (1983) definierte Character Generator (CHARGEN)-Protokoll ist ein Dienst der Internetprotokollfamilie, der genau das tut, was sein Name besagt: Er generiert willkürlich Zeichen und hört nicht auf, sie an den Client zu senden, bis dieser die Verbindung beendet. Ursprünglich war er zum Testen und Debugging gedacht. Er wird jedoch nur noch selten verwendet, weil er so leicht für Amplification-/Reflection-Angriffe missbraucht werden kann.

Ein Angreifer kann die Ursprungs-IP seines Opfers fälschen und unterstützende Server auf der ganzen Welt täuschen, um einen Strom beliebiger Zeichen „zurück“ zu den Servern des Opfers zu leiten. Es handelt sich hierbei um einen Amplification/Reflection-Angriff. Bei einer ausreichenden Anzahl gleichzeitiger CHARGEN-Ströme würden die Server des Opfers, wenn sie ungeschützt sind, überflutet. Sie wären dann nicht mehr in der Lage, den legitimen Datenverkehr zu bewältigen – was zu einem Denial-of-Service-Ereignis führen würde.

Graph of the distribution of network-layer DDoS attacks by packet rate in 2022 Q2

Amplification-Angriffe, die das Ubiquiti Discovery-Protokoll ausnutzen

Graph of the change in the distribution of network-layer DDoS attacks by packet rate quarter over quarter for 2022 Q2

Im zweiten Jahresviertel haben die Angriffe über Ubiquity im Quartalsvergleich um 327 % zugelegt.

Ubiquiti ist ein US-amerikanisches Unternehmen, das Netzwerk- und IoT (Internet of Things)-Geräte für Verbraucher und Unternehmen anbietet. Ubiquiti-Geräte können mit dem Ubiquiti Discovery-Protokoll über UDP/TCP-Port 10001 in einem Netzwerk ermittelt werden.

Graph of the distribution of network-layer DDoS attacks by bit rate in 2022 Q2

Ähnlich wie beim CHARGEN-Angriffsvektor können Angreifer auch hier die Ursprungs-IP-Adresse durch die IP-Adresse des Opfers ersetzen und Anfragen an IP-Adressen mit offenem Port 10001 verteilen. Diese würden dann auf das Opfer reagieren und es bei ausreichendem Volumen im Prinzip mit Daten überschwemmen.

Graph of the change in the distribution of network-layer DDoS attacks by bit rate quarter over quarter for 2022 Q2

Memcached-DDoS-Angriffe

Im zweiten Quartal wurden 287 % mehr DDoS-Angriffe über Memcached verzeichnet als in den vorangegangenen drei Monaten.

Memcached ist ein Datenbank-Caching-System zur Beschleunigung von Websites und Netzwerken. Ähnlich wie CHARGEN und Ubiquiti können Memcached-Server, die UDP unterstützen, für Amplification/Reflection-DDoS-Angriffe missbraucht werden. In diesem Fall würde der Angreifer Inhalte vom Caching-System anfordern und die IP-Adresse des Opfers als Ursprungs-IP in den UDP-Paketen eintragen. Das Opfer wird mit den Memcache-Antworten bombardiert, die um einen Faktor von bis zu 51.200 verstärkt werden können.

DDoS-Angriffe auf Netzwerkschicht aufgeschlüsselt nach Angriffsrate

Volumetrische Angriffe mit über 100 Gbit/s sind um 8% gegenüber dem Vorquartal gestiegen.

Graph of the distribution of network-layer DDoS attacks by duration in 2022 Q2

Es gibt verschiedene Möglichkeiten, die Größe eines L3/4-DDoS-Angriffs zu messen. So kann man sich das Volumen des damit einhergehenden Traffics ansehen, das als Bitrate ausgedrückt wird. Diese wird in Terabit pro Sekunde oder Gigabit pro Sekunde angegeben. Ein anderer Messwert ist die Anzahl der übermittelten Datenpakete. Diese sogenannte Paketrate wird in Millionen Paketen pro Sekunde angegeben.

Graph of the change in the distribution of network-layer DDoS attacks by duration quarter over quarter for 2022 Q2

Angriffe mit hohen Bitraten zielen darauf ab, die Internetverbindung zu belegen, sodass es zu einer „Denial of Service“ (Nichtverfügbarkeit) kommt. Mit hohen Paketraten dagegen wird versucht, die Server, Router oder andere Hardwaregeräte innerhalb des Netzwerkpfads durch Überlastung lahmzulegen. Diese Geräte wenden eine bestimmte Speicher- und Rechenleistung zur Verarbeitung eines Datenpakets auf. Werden sie daher mit Paketen regelrecht überschwemmt, sind ihre Verarbeitungskapazitäten unter Umständen irgendwann erschöpft. In einem solchen Fall werden Pakete „verworfen“ – mit anderen Worten: Die Appliance ist nicht in der Lage, sie zu verarbeiten. Für Nutzer hat das zur Folge, dass die von ihnen angesteuerten Dienste nicht richtig funktionieren oder nicht mehr verfügbar sind.

Aufschlüsselung nach Paketrate

Die Mehrheit der DDoS-Angriffe auf Netzwerkschicht bleibt unter 50.000 Paketen pro Sekunde. 50.000 Pakete pro Sekunde sind bei der Dimension des Cloudflare-Netzwerks eher am unteren Ende des Spektrums angesiedelt. Dennoch können damit leicht Ausfälle ungeschützter Websites verursacht und sogar Standard-Gigabit-Ethernet-Verbindungen überlastet werden.

Aufschlüsselung der DDoS-Angriffe auf Netzwerkschicht nach Paketrate im zweiten Quartal 2022

Wenn wir uns die Veränderungen bei den Angriffsgrößen ansehen, ist festzustellen, dass paketintensive Angriffe mit mehr als 50.000 Paketen pro Sekunde in zweiten Jahresviertel zurückgegangen sind, während kleine Angriffe um 4 % zugelegt haben.

Aufschlüsselung der DDoS-Angriffe auf Netzwerkschicht nach Paketrate: erstes und zweites Quartal 2022 im Vergleich

Aufschlüsselung nach Bitrate

Die Mehrheit der DDoS-Angriffe auf Netzwerkschicht blieben im zweiten Quartal unter 500 Mbit/s. Bei der Größe des Cloudflare-Netzwerks ist auch dies zu vernachlässigen. Dennoch können solche Attacken ungeschützte Websites mit weniger Kapazität sehr schnell lahmlegen oder zumindest eine Standard-Gigabit-Ethernet-Verbindung überlasten.

Aufschlüsselung der DDoS-Angriffe auf Netzwerkschicht nach Bitrate im zweiten Quartal 2022

Interessanterweise sind große Angriffe mit einem Umfang zwischen 500 Mbit/s und 100 Gbit/s im Quartalsvergleich um 20–40 % zurückgegangen, während volumetrische Attacken mit mehr als 100 Gbit/s um 8 % zugenommen haben.

Aufschlüsselung der DDoS-Angriffe auf Netzwerkschicht nach Paketrate: erstes und zweites Quartal 2022 im Vergleich

DDoS-Angriffe auf Netzwerkschicht aufgeschlüsselt nach Dauer

Im zweiten Quartal sind Angriffe mit einer Dauer von mehr als drei Stunden um 9 % gestiegen.

Zur Ermittlung der Dauer eines Angriffs wird die Zeit zwischen dem Moment, in dem er von unseren Systemen erstmals als solcher erkannt wird, und dem Augenblick, in dem wir das letzte Paket mit der Signatur dieser Attacke auf dieses konkrete Ziel registrieren, gemessen.

Im Berichtszeitraum dauerten 52 % der DDoS-Angriffe auf Netzwerkschicht weniger als 10 Minuten. Weitere 40 % dauerten 10–20 Minuten. Die verbleibenden 8 % umfassen Angriffe, die zwischen 20 Minuten und mehr als drei Stunden dauern.

Es ist wichtig, zu bedenken, dass die Auswirkungen eines erfolgreichen Angriffs weit über seine eigentliche Dauer – die möglicherweise nur ein paar Minuten beträgt – hinausgehen können. IT-Mitarbeitende, die auf einen erfolgreichen Angriff reagieren, müssen unter Umständen Stunden oder sogar Tage investieren, um Dienste wieder in Betrieb zu setzen.

Aufschlüsselung der DDoS-Angriffe auf Netzwerkschicht nach Dauer im zweiten Quartal 2022

Die meisten Angriffe sind zwar in der Tat nach kurzer Zeit wieder vorbei, doch es war ein Anstieg um über 15 % bei Attacken mit einer Dauer von 20–60 Minuten und um 12 % bei Angriffen mit einer Dauer von mehr als drei Stunden festzustellen.

Aufschlüsselung der DDoS-Angriffe auf Netzwerkschicht nach Dauer: erstes und zweites Quartal 2022 im Vergleich

Kurze Attacken bleiben leicht unbemerkt, insbesondere solche, die ein Ziel für wenige Sekunden mit einer großen Zahl an Paketen, Bytes oder Anfragen bombardieren. In diesen Fällen haben Abwehrlösungen, die auf einer manuellen Bekämpfung mittels Sicherheitsanalyse beruhen, keine Chance, den Angriff rechtzeitig zu unterbinden. Es bleibt dann nur die Möglichkeit, ihn im Nachhinein zu untersuchen und auf Grundlage der dabei gewonnenen Erkenntnisse eine neue Regel zu erstellen, anhand derer der Traffic anschließend auf das Angriffsprofil hin gefiltert werden kann. Dann besteht zumindest eine gewisse Hoffnung, dass die nächste Attacke erkannt wird. Ebenso wenig zielführend ist der Einsatz eines „On Demand“-Services, bei denen das Sicherheitsteam den Datenverkehr während eines Angriffs zu einem DDoS-Dienst umleitet. Denn in diesen Fällen ist die Attacke vorüber, bevor der Traffic dort ankommt.

Unternehmen wird die Verwendung automatisch funktionierender und ständig aktiver DDoS-Schutzdienste empfohlen. Diese analysieren den Datenverkehr und wenden in Echtzeit Fingerprinting an, wodurch sie schnell genug sind, um auch kurze Angriffe zu blockieren.

Zusammenfassung

Cloudflare hat es sich zur Aufgabe gemacht, ein besseres Internet zu schaffen. Das bedeutet ein sichereres, schnelleres und zuverlässigeres Web für alle – auch bei DDoS-Angriffen. Deshalb bieten wir seit 2017 allen unseren Kunden zeitlich unbeschränkten und unbegrenzten DDoS-Schutz gratis an. Im Lauf der Jahre ist es immer einfacher geworden, DDoS-Angriffe durchzuführen. Wir wollen aus diesem Grund sicherstellen, dass es für Unternehmen gleich welcher Größe noch einfacher und kostenlos ist, sich vor DDoS-Angriffen aller Art zu schützen.

Sie nutzen Cloudflare noch nicht? Dann starten Sie jetzt mit unseren Free- und Pro-Tarifen zum Schutz Ihrer Websites oder kontaktieren Sie uns für umfassenden DDoS-Schutz für Ihr gesamtes Netzwerk mit Magic Transit.

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
DDoSDDoS Reports (DE)Attacks (DE)Trends (DE)Cloudflare Radar (DE)Ransom Attacks (DE)UkraineRussia

Folgen auf X

Omer Yoachimik|@OmerYoahimik
Cloudflare|@cloudflare

Verwandte Beiträge

20. November 2024 um 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...

06. November 2024 um 08:00

Exploring Internet traffic shifts and cyber attacks during the 2024 US election

Election Day 2024 in the US saw a surge in cyber activity. Cloudflare blocked several DDoS attacks on political and election sites, ensuring no impact. In this post, we analyze these attacks, as well Internet traffic increases across the US and other key trends....