Rekord bei DDoS-Attacke mit 7,3 TBit/s

Cloudflare hat Mitte Mai den „größten jemals registrierten“ Denial-of-Service-Angriff (DDoS) mit bislang kaum für möglich gehaltenen 7,3 Terabit pro Sekunde (TBit/s) blockiert. Dies teilte der US-Anbieter rund um Lösungen für IT-Sicherheit und Internetperformance am Freitag mit. Diese Attacke war demnach rund 12 Prozent größer als der vorherige Rekord und lieferte ein massives Datenvolumen von 37,4 Terabyte in nur 45 Sekunden. Diese Menge sei heutzutage an sich zwar nicht atemberaubend, die für die Auslieferung benötigte sehr kurze Zeitspanne aber schon.

„Dies entspricht dem Überfluten Ihres Netzwerks mit über 9350 HD-Filmen in voller Länge oder dem ununterbrochenen Streamen von 7480 Stunden hochauflösendem Video“ in weniger als einer Minute, veranschaulicht Cloudflare die Datenflut. „Stellen Sie sich vor, Sie könnten mit Ihrem Smartphone 12,5 Millionen hochauflösende Fotos schießen und hätten nie einen vollen Speicherplatz.“ Und das alles in 45 Sekunden.

Ziel des massiven Angriffs war ein Hosting-Provider, ließ der Dienstleister durchblicken, ohne dabei einen Namen zu nennen. Die Attacke sei erfolgreich abgewehrt worden. Die Cyberkriminellen hätten „durchschnittlich 21.925 Zielports einer einzelnen IP-Adresse unseres Kunden bombardiert, mit einem Spitzenwert von 34.517 Zielports pro Sekunde“. Der Vorfall sei von einer ähnlichen Verteilung der Ursprungsports ausgegangen. Mitgewirkt hätten über 122.145 Quell-IP-Adressen, die sich über 5433 autonome Netzwerksysteme in 161 Ländern erstreckten.

Das berüchtigte Mirai-Botnetz war involviert

Laut Cloudflare handelte es sich um einen Angriff unter Einsatz verschiedener Vektoren. Rund 99,996 Prozent des Verkehrs stufte das Unternehmen als sogenannte UDP-Floods ein. Ein Angreifer sendet eine riesige Menge von UDP-Paketen (User Datagram Protocol) an zufällige Ports auf einem Zielserver. Da UDP verbindungslos ist, fällt es Übeltätern damit leichter, die Absender-IP-Adresse der Pakete zu fälschen (IP-Spoofing). Das macht es schwieriger, die tatsächliche Quelle der Attacke zu identifizieren. Die Netzwerk- und Serverressourcen eines Ziels können so schnell überlastet werden.

Die restlichen 0,004 Prozent des Angriffsverkehrs, die 1,3 Gigabyte ausmachten, identifizierte Cloudflare als Attacken über diverse andere Internetprotokolle wie das Network Time Protocol (NTP), das Quote of the Day Protocol (QOTD) oder Echo und über Portmapper-Dienste, die zur Identifizierung von Netzwerkressourcen verwendet werden. Zudem seien ein oder mehrere Mirai-basierte Botnetze beteiligt gewesen. Diese bestehen typischerweise aus kompromittierten Routern in Privathaushalten und Büros, Webcams und anderen Geräten im Internet der Dinge.

Im ersten Quartal 2025 hat Cloudflare nach eigenen Angaben einen massiven Anstieg von DDoS-Angriffen verzeichnet und 20,5 Millionen solcher Attacken blockiert. Das entspreche einem Plus von 358 Prozent gegenüber den ersten drei Monaten des Vorjahres. Betroffen seien vor allem wichtige Service-Anbieter im Bereich der Internetinfrastruktur. Das Bundeskriminalamt schätzt DDoS-Attacken in seinen Cybercime-Lagebildern regelmäßig als hohe Bedrohung ein. Dahinter vermutet es vor allem „Hacktivisten“ aus dem pro-russischen oder anti-israelischen Lager. Die Behörde geht gemeinsam mit internationalen Partnern gegen Dienste vor, die solche Angriffe vereinfachen.

(nie)