4,2 Tbps an fehlerhaften Paketen und vieles mehr: Cloudflares DDoS-Bericht für das 3. Quartal

Willkommen zur 19. Ausgabe des Cloudflare DDoS Threat Report. Diese Berichte werden vierteljährlich veröffentlicht und bieten eine detaillierte Analyse der DDoS-Bedrohungslandschaft, wie sie im Cloudflare-Netzwerk beobachtet wird. Diese Ausgabe konzentriert sich auf das dritte Quartal 2024.

Mit einem Netzwerk von 296 Terabit pro Sekunde (Tbps) in über 330 Städten weltweit wird Cloudflare von fast 20 % aller Websites als Reverse-Proxy genutzt. Cloudflare hat eine einzigartige Position, um der breiteren Internet-Community wertvolle Einblicke und Trends zu bieten.

Wichtige Erkenntnisse

• Die Zahl der DDoS-Angriffe stieg im dritten Quartal 2024 sprunghaft an. Cloudflare wehrte fast 6 Millionen DDoS-Angriffe ab, was einem Anstieg von 49 % gegenüber dem Vorquartal und 55 % gegenüber dem Vorjahr entspricht.
• Von diesen 6 Millionen erkannten und bekämpften die autonomen DDoS-Abwehrsysteme von Cloudflare über 200 hypervolumetrische DDoS-Angriffe mit Raten von mehr als 3 Terabit pro Sekunde (Tbps) und 2 Milliarden Paketen pro Sekunde (Bpps). Der größte Angriff erreichte eine Spitze von 4,2 Tbps und dauerte nur eine Minute.
• Die Banken- und Finanzdienstleistungsbranche war den meisten DDoS-Angriffen ausgesetzt. China war das Land, das am häufigsten von DDoS-Angriffen betroffen war, und Indonesien war die größte Quelle von DDoS-Angriffen.

Weitere Informationen über DDoS-Angriffe und andere Arten von Cyber-Bedrohungen finden Sie in unserem Learning Center, in früheren DDoS-Bedrohungsberichten im Cloudflare-Blog oder in unserem interaktiven Hub Cloudflare Radar. Es gibt auch eine kostenlose API für alle, die diese und andere Internet-Trends untersuchen möchten. Sie können auch mehr über die Methoden erfahren, die bei der Erstellung dieser Berichte verwendet wurden.

Hochvolumetrische Kampagne

In der ersten Hälfte des Jahres 2024 haben die autonomen DDoS-Abwehrsysteme von Cloudflare automatisch 8,5 Millionen DDoS-Angriffe erkannt und abgewehrt: 4,5 Millionen im ersten Quartal und 4 Millionen im zweiten Quartal. Im dritten Quartal haben unsere Systeme fast 6 Millionen DDoS-Angriffe abgewehrt, was einer Gesamtzahl von 14,5 Millionen DDoS-Angriffen seit Jahresbeginn entspricht. Das sind durchschnittlich etwa 2.200 DDoS-Angriffe pro Stunde.

Von diesen Angriffen hat Cloudflare über 200 hypervolumetrische DDoS-Angriffe auf Netzwerkebene abgewehrt, die 1 Tbps oder 1 Bpps überstiegen. Die größten Angriffe erreichten Spitzenwerte von 3,8 Tbps und 2,2 Bpps. Lesen Sie mehr über diese Angriffe und wie unsere DDoS-Abwehrsysteme sie autonom abgewehrt haben.

Verteilung hypervolumetrischer DDoS-Angriffe über die gesamte Zeit

Während wir diesen Blogbeitrag schrieben, erkannten und bekämpften unsere Systeme diese massiven Angriffe weiterhin, und nur drei Wochen nach unserer letzten Meldung wurde gerade wieder ein neuer Rekord gebrochen. Am 21. Oktober 2024 erkannten und bekämpften die Systeme von Cloudflare selbstständig einen DDoS-Angriff mit 4,2 Tbps, der etwa eine Minute lang andauerte.

4,2 Tbps DDoS-Angriff durch Cloudflare eigenständig abgewehrt

Arten und Charakteristika von DDoS-Angriffen

Von den 6 Millionen DDoS-Angriffen waren die Hälfte HTTP-DDoS-Angriffe (Anwendungsschicht) und die andere Hälfte DDoS-Angriffe auf der Netzwerkschicht. DDoS-Angriffe auf der Netzwerkschicht nahmen im Vergleich zum Vorquartal um 51 % und im Vergleich zum Vorjahr um 45 % zu, und HTTP-DDoS-Angriffe nahmen im Vergleich zum Vorquartal um 61 % und im Vergleich zum Vorjahr um 68 % zu.

Angriffsdauer

90 % der DDoS-Angriffe, einschließlich der größten Angriffe, waren sehr kurzlebig. Wir verzeichneten jedoch einen leichten Anstieg (7 %) bei Angriffen, die länger als eine Stunde dauerten. Diese längeren Angriffe machten 3 % aller Angriffe aus.

Angriffsvektoren

Im dritten Quartal war die Anzahl der DDoS-Angriffe auf Netzwerkebene im Vergleich zu HTTP-DDoS-Angriffen gleichmäßig verteilt. Bei den DDoS-Angriffen auf Netzwerkebene war „SYN flood“ der häufigste Angriffsvektor, gefolgt von „DNS flood attacks“, „UDP floods“, „SSDP reflection attacks“ und „ICMP reflection attacks“.

Auf der Anwendungsschicht wurden 72 % der HTTP-DDoS-Angriffe von bekannten Botnets gestartet und automatisch durch unsere proprietäre Heuristik abgewehrt. Die Tatsache, dass 72 % der DDoS-Angriffe durch unsere selbst entwickelte Heuristik abgewehrt wurden, zeigt die Vorteile des Betriebs eines großen Netzwerks. Das Volumen des Datenverkehrs und der Angriffe, die wir sehen, ermöglicht es uns, robuste Abwehrmaßnahmen gegen Botnets zu entwickeln, zu testen und einzusetzen.

Weitere 13 % der HTTP-DDoS-Angriffe wurden aufgrund ihrer verdächtigen oder ungewöhnlichen HTTP-Attribute abgewehrt, und weitere 9 % waren HTTP-DDoS-Angriffe, die von gefälschten Browsern oder Browser-Identitätsdiebstahl gestartet wurden. Die restlichen 6 % der Kategorie „Sonstige“ umfassen Angriffe, die auf Anmeldeendpunkte abzielten, sowie Cache-Busting-Angriffe.

Es ist zu beachten, dass diese Angriffsvektoren oder Angriffsgruppen nicht unbedingt exklusiv sind. Beispielsweise geben bekannte Botnets auch vor, Browser zu sein, und weisen verdächtige HTTP-Attribute auf. Diese Aufschlüsselung ist jedoch unser Versuch, die HTTP-DDoS-Angriffe auf sinnvolle Weise zu kategorisieren.

Verteilung von DDoS-Angriffen im 3. Quartal 2024

Im dritten Quartal beobachteten wir einen Anstieg der SSDP-Verstärkungsangriffe um 4.000 % im Vergleich zum vorherigen Quartal. Ein SSDP-Angriff (Simple Service Discovery Protocol) ist eine Art von DDoS-Angriff, der das UPnP-Protokoll (Universal Plug and Play) ausnutzt. Angreifer senden SSDP-Anfragen an anfällige UPnP-fähige Geräte wie Router, Drucker und IP-fähige Kameras und fälschen die Quell-IP-Adresse, sodass sie der IP Der Verstärkungseffekt ermöglicht es Angreifern, aus kleinen Anfragen massiven Datenverkehr zu generieren, wodurch der Dienst des Opfers offline geht. Die Deaktivierung von UPnP auf nicht benötigten Geräten und die Anwendung von DDoS-Abwehrstrategien können bei der Abwehr dieses Angriffs helfen.

Veranschaulichung eines „SSDP Amplification“-Angriffs

Bei HTTP-DDoS-Angriffen verwendete Benutzeragenten

Bei der Durchführung von HTTP-DDoS-Angriffen versuchen Bedrohungsakteure, sich zu tarnen, um nicht entdeckt zu werden. Eine Taktik, um dies zu erreichen, ist das Spoofing des Benutzeragenten. Dadurch können sie bei erfolgreicher Durchführung als legitimer Browser oder Client erscheinen.

Im dritten Quartal gaben 80 % des HTTP-DDoS-Angriffsverkehrs den Browser Google Chrome vor, der der am häufigsten bei Angriffen beobachtete Benutzeragent war. Genauer gesagt waren Chrome 118, 119, 120 und 121 die häufigsten Versionen.

An zweiter Stelle wurde bei 9 % des HTTP-DDoS-Angriffsverkehrs kein Benutzeragent beobachtet.

An dritter und vierter Stelle beobachteten wir Angriffe mit den Benutzeragenten Go-http-client und fasthttp. Ersterer ist der Standard-HTTP-Client in der Standardbibliothek von Go und letzterer eine leistungsstarke Alternative. Fasthttp wird zum Erstellen schneller Webanwendungen verwendet, aber auch häufig für DDoS-Angriffe und Web-Scraping.

Die häufigsten User Agents bei DDoS-Angriffen

Der User-Agent Hackney belegte den fünften Platz. Dabei handelt es sich um eine HTTP-Client-Bibliothek für Erlang. Sie wird für HTTP-Anfragen verwendet und ist in Erlang/Elixir-Ökosystemen beliebt.

Auf dem sechsten Platz taucht ein interessanter Benutzeragent auf: HITV_ST_PLATFORM. Dieser Benutzeragent scheint mit Smart-TVs oder Set-Top-Boxen in Verbindung zu stehen. Bedrohungsakteure vermeiden in der Regel die Verwendung ungewöhnlicher Benutzeragenten, wie die häufige Verwendung von Chrome-Benutzeragenten bei Cyberangriffen zeigt. Daher deutet das Vorhandensein von HITV_ST_PLATFORM wahrscheinlich darauf hin, dass es sich bei den betreffenden Geräten tatsächlich um kompromittierte Smart-TVs oder Set-Top-Boxen handelt.

An siebter Stelle sahen wir, dass der uTorrent-Benutzeragent bei Angriffen verwendet wurde. Dieser Benutzeragent ist mit einem beliebten BitTorrent-Client verbunden, der zum Herunterladen von Dateien verwendet wird.

Schließlich war okhttp der am wenigsten verbreitete Benutzeragent bei DDoS-Angriffen, obwohl er als HTTP-Client für Java- und Android-Anwendungen beliebt ist.

HTTPS-Angriffsattribute

Während 89 % des HTTP-DDoS-Angriffsverkehrs die GET-Methode verwendeten, ist dies auch die am häufigsten verwendete HTTP-Methode. Wenn wir also den Angriffsverkehr normalisieren, indem wir die Anzahl der Angriffsanfragen durch die Gesamtzahl der Anfragen pro HTTP-Methode dividieren, erhalten wir ein anderes Bild.

Fast 12 % aller Anfragen, die die DELETE-Methode verwendeten, waren Teil eines HTTP-DDoS-Angriffs. Nach DELETE sehen wir, dass HEAD, PATCH und GET die am häufigsten verwendeten Methoden bei DDoS-Angriffsanfragen sind.

Während 80 % der DDoS-Angriffsanfragen über HTTP/2 und 19 % über HTTP/1.1 erfolgten, stellten sie einen viel geringeren Anteil dar, wenn sie durch den Gesamtverkehr nach Version normalisiert wurden. Wenn wir die Angriffsanfragen durch alle Anfragen nach Version normalisieren, ergibt sich ein anderes Bild. Über die Hälfte des Datenverkehrs, der auf die nicht standardmäßige oder falsch gekennzeichnete „HTTP/1.2“-Version entfiel, war böswillig und Teil von DDoS-Angriffen. Es ist wichtig zu wissen, dass „HTTP/1.2“ keine offizielle Version des Protokolls ist.

Die überwiegende Mehrheit der HTTP-DDoS-Angriffe ist tatsächlich verschlüsselt – fast 94 % – und verwendet HTTPS.

Ziele von DDoS-Angriffen

Am häufigsten angegriffene Standorte

China war im dritten Quartal 2024 der am häufigsten angegriffene Standort. Die Vereinigten Arabischen Emirate belegten den zweiten Platz, Hongkong den dritten Platz, dicht gefolgt von Singapur, Deutschland und Brasilien.

Kanada belegte den siebten Platz, gefolgt von Südkorea, den Vereinigten Staaten und Taiwan auf Platz zehn.

Branchen, die am häufigsten Ziel von Angriffen waren

Im dritten Quartal 2024 waren Banken und Finanzdienstleistungen am häufigsten Ziel von DDoS-Angriffen. An zweiter Stelle standen Informationstechnologie und -dienstleistungen, gefolgt vom Sektor Telekommunikation, Dienstanbieter und Netzbetreiber.

Kryptowährung, Internet, Glücksspiel und Casinos sowie Gaming folgten dicht dahinter als die am zweithäufigsten angegriffenen Branchen. Unterhaltungselektronik, Bauwesen und Einzelhandel rundeten die Top Ten der am häufigsten angegriffenen Branchen ab.

Quellen von DDoS-Angriffen

Bedrohungsakteure

Seit einigen Jahren befragen wir unsere Kunden, die DDoS-Angriffen ausgesetzt waren. Die Umfrage deckt verschiedene Faktoren ab, wie die Art des Angriffs und die Bedrohungsakteure. Im Falle der Bedrohungsakteure gaben 80 % der Befragten an, dass sie nicht wissen, wer sie angegriffen hat, 20 % gaben jedoch an, dass sie es wüssten. Von diesen gaben 32 % an, dass es sich bei den Angreifern um Erpresser handelte. Weitere 25 % gaben an, dass ein Konkurrent sie angegriffen habe, und weitere 21 % gaben an, dass ein verärgerter Kunde oder Nutzer hinter dem Angriff stecke. 14 % der Befragten gaben an, dass die Angriffe von einem Staat oder einer staatlich unterstützten Gruppe durchgeführt wurden. Schließlich gaben 7 % an, dass sie sich selbst irrtümlicherweise angegriffen haben. Ein Beispiel für einen Selbst-DDoS-Angriff ist ein Firmware-Update für IoT-Geräte, das dazu führt, dass alle Geräte gleichzeitig nach Hause telefonieren, was zu einer Flut von Datenverkehr führt.

Verteilung der Hauptbedrohungsakteure

Erpresser waren zwar die häufigsten Bedrohungsakteure, aber insgesamt gingen die Berichte über Ransom-DDoS-Angriffe im Quartalsvergleich um 42 % zurück, stiegen jedoch im Jahresvergleich um 17 %. Insgesamt gaben 7 % der Befragten an, einem Ransom-DDoS-Angriff ausgesetzt gewesen zu sein oder von dem Angreifer bedroht worden zu sein. Im August stieg diese Zahl jedoch auf 10 % – das ist einer von zehn.

Berichte über Ransomware-DDoS-Angriffe nach Quartal

Die wichtigsten Ausgangspunkte von DDoS-Angriffen

Indonesien war im dritten Quartal 2024 der größte Ausgangspunkt von DDoS-Angriffen. Die Niederlande waren der zweitgrößte Ausgangspunkt, gefolgt von Deutschland, Argentinien und Kolumbien.

Die folgenden fünf größten Quellen waren Singapur, Hongkong, Russland, Finnland und die Ukraine.

Die wichtigsten Ausgangsnetzwerke von DDoS-Angriffen

Für Serviceanbieter, die ihre eigenen Netzwerke und Infrastrukturen betreiben, kann es schwierig sein, zu erkennen, wer ihre Infrastruktur für böswillige Zwecke, wie die Durchführung von DDoS-Angriffen, nutzt. Aus diesem Grund bieten wir einen kostenlosen Threat-Intelligence-Feed für Netzwerkbetreiber an. Dieser Feed liefert Serviceanbietern Informationen über IP-Adressen aus ihren Netzwerken, die unserer Beobachtung nach an nachfolgenden DDoS-Angriffen beteiligt waren.

In diesem Zusammenhang war Hetzner (AS24940), ein in Deutschland ansässiger IT-Anbieter, im dritten Quartal 2024 die größte Quelle von HTTP-DDoS-Angriffen. Linode (AS63949), eine Cloud-Computing-Plattform, die 2022 von Akamai übernommen wurde, war die zweitgrößte Quelle von HTTP-DDoS-Angriffen. Vultr (AS64515), ein in Florida ansässiger Dienstleister, belegte den dritten Platz.

Netcup (AS197540), ein weiterer in Deutschland ansässiger IT-Anbieter, belegte den vierten Platz. Google Cloud Platform (AS15169) folgte auf dem fünften Platz. DigitalOcean (AS14061) belegte den sechsten Platz, gefolgt vom französischen Anbieter OVH (AS16276), Stark Industries (AS44477), Amazon Web Services (AS16509) und Microsoft (AS8075).

Netzwerke, die im 3. Quartal 2024 die größten Quellen von HTTP-DDoS-Angriffen waren

Wichtige Erkenntnisse

In diesem Quartal beobachteten wir einen beispiellosen Anstieg hypervolumetrischer DDoS-Angriffe mit Spitzenwerten von 3,8 Tbps und 2,2 Bpps. Dies spiegelt einen ähnlichen Trend aus dem Vorjahreszeitraum wider, als Angriffe auf Anwendungsebene in der HTTP/2 Rapid Reset-Kampagne 200 Millionen Anfragen pro Sekunde (Mrps) überstiegen. Diese massiven Angriffe können Internet-Ressourcen überlasten, insbesondere solche, die auf kapazitätsbeschränkte Cloud-Dienste oder lokale Lösungen angewiesen sind.

Der zunehmende Einsatz leistungsfähiger Botnets, der durch geopolitische Spannungen und globale Ereignisse angeheizt wird, erweitert die Bandbreite der gefährdeten Organisationen – von denen viele traditionell nicht als Hauptziele für DDoS-Angriffe galten. Leider setzen zu viele Organisationen erst dann reaktiv DDoS-Schutzmaßnahmen ein, wenn ein Angriff bereits erheblichen Schaden angerichtet hat.

Unsere Beobachtungen bestätigen, dass Unternehmen mit gut vorbereiteten, umfassenden Sicherheitsstrategien weitaus widerstandsfähiger gegen diese Cyberbedrohungen sind. Bei Cloudflare setzen wir uns für den Schutz Ihrer Internetpräsenz ein. Durch erhebliche Investitionen in unsere automatisierten Abwehrmaßnahmen und ein robustes Portfolio an Sicherheitsprodukten gewährleisten wir einen proaktiven Schutz vor aktuellen und neu auftretenden Bedrohungen – damit Sie sich darum nicht kümmern müssen.

Quelle: Cloudflare-Blog

Die Konnektivitäts-Cloud von Cloudflare schützt ganze Unternehmensnetzwerke, hilft Kunden, internetfähige Anwendungen effizient zu erstellen, beschleunigt jede Website oder Internetanwendung, wehrt DDoS-Angriffe ab, hält Hacker in Schach und kann Ihnen auf Ihrem Weg zu Zero Trust helfen.

Besuchen Sie 1.1.1.1 von jedem Gerät aus, um mit unserer kostenlosen App zu beginnen, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission erfahren möchten, ein besseres Internet zu schaffen, starten Sie hier. Wenn Sie auf der Suche nach einer neuen beruflichen Herausforderung sind, sehen Sie sich unsere offenen Stellen an.