Wie Cloudflare einen enormen DDoS-Angriff mit 7,3 Tbps blockierte

Mitte Mai 2025 blockierte Cloudflare den größten jemals aufgezeichneten DDoS-Angriff mit 7,3 Terabit pro Sekunde (Tbps). Dies passierte kurz nach der Veröffentlichung des DDoS Threat Reports für Q1 2025 am 27. April 2025, in dem Cloudflare Angriffe mit 6,5 Tbps und 4,8 Milliarden Paketen pro Sekunde (pps) aufzeigte. Der jetzige Angriff mit 7,3 Tbps ist 12 Prozent größer als der bisherige Rekord des Unternehmens.

Ziel des Angriffs war ein Cloudflare-Kunde, konkret ein Hosting-Anbieter, der Magic Transit zum Schutz seines IP-Netzwerks verwendet. Hosting-Provider und kritische Internet-Infrastrukturen werden zunehmend zum Ziel von DDoS-Angriffen, wie Cloudflare in seinem letzten DDoS Threat Report berichtet hatte. Im Folgenden einige Fakten zum Angriff und Informationen darüber, wie dieser erkannt und abgewehrt wurde.

Angriffsvektoren

Bei dem genannten Angriff handelte es sich um einen Multivektor-DDoS-Angriff. Etwa 99,996 % des Angriffsverkehrs wurden als UDP-Floods eingestuft. Die verbleibenden 0,004 %, die 1,3 GB des Angriffsverkehrs ausmachten, wurden jedoch als QOTD-Reflection-Angriffe, Echo-Reflection-Angriffe, NTP-Reflection-Angriffe, Mirai-UDP-Flood-Angriffe, Portmap-Flood- und RIPv1-Amplifikationsangriffe identifiziert.

Herkunft des Angriffs

Die Attacke erfolgte von über 122.145 Quell-IP-Adressen aus 5.433 autonomen Systemen (AS) in 161 Ländern. Fast die Hälfte des Angriffsverkehrs stammte aus Brasilien und Vietnam, mit jeweils etwa einem Viertel. Ein weiteres Drittel stammte aus Taiwan, China, Indonesien, der Ukraine, Ecuador, Thailand, den Vereinigten Staaten und Saudi-Arabien.

Wie die Attacke erkannt und entschärft wurde

• Nutzung der “verteilten” Art von DDoS-Angriffen

Die angegriffene IP-Adresse wurde von Cloudflares Netzwerk mithilfe des globalen Anycast-Netzwerks angekündigt. Das bedeutet, dass die Angriffspakete, die auf die IP-Adresse abzielten, an das nächstgelegene Cloudflare-Rechenzentrum weitergeleitet wurden. Die Verwendung des globalen Anycasts ermöglicht es Cloudflare, den Angriffsverkehr zu verbreiten und die “verteilte” Art der Attacke gegen diesen zu nutzen, so dass das Unternehmen in der Nähe der Botnet-Knoten Abhilfe schaffen und die Benutzer weiterhin von den nächstgelegenen Datenzentren aus bedienen können. Im Falle dieses Angriffs wurde er in 477 Rechenzentren an 293 Standorten auf der ganzen Welt entdeckt und abgewehrt. An Orten mit hohem Verkehrsaufkommen ist Cloudflare in mehreren Rechenzentren präsent.

• Autonome DDoS-Erkennung und -Minderung

Das globale Cloudflare-Netzwerk betreibt jeden Service in jedem Rechenzentrum. Dazu gehören auch die DDoS-Erkennungs- und -Mitigationssysteme von Cloudflare. Dies bedeutet, dass Angriffe völlig autonom erkannt und abgewehrt werden können – unabhängig davon, woher sie stammen.

• Echtzeit-Fingerprinting

Wenn ein Paket im Cloudflare-Rechenzentrum eintrifft, wird die Last auf intelligente Weise auf einen verfügbaren Server verteilt. Anschließend werden die Pakete direkt aus den Tiefen des Linux-Kernels über den eXpress Data Path (XDP) abgetastet, wobei ein erweitertes Berkley Packer Filter (eBPF)-Programm verwendet wird, um die Paketproben in den Benutzerbereich zu leiten, wo die Analyse durchgeführt wird.

Das System analysiert die Paketproben, um verdächtige Muster auf der Grundlage der heuristischen Engine namens dosd (denial of service daemon) zu erkennen. Dosd sucht nach Mustern in den Paketproben, z. B. nach Gemeinsamkeiten in den Header-Feldern der Pakete und nach Paketanomalien, und wendet auch andere proprietäre Techniken an.

Für Cloudflare-Kunden ist dieses komplexe Fingerabdrucksystem benutzerfreundlich in den DDoS Protection Managed Rulesets festgehalten. Erkennt dosd Muster, generiert es mehrere Permutationen dieser Fingerabdrücke, um den genauesten Fingerabdruck zu finden, der die höchste Mitigationseffizienz und -genauigkeit aufweist. Konkret geht es darum zu versuchen, den Angriffsverkehr chirurgisch genau zu bekämpfen, ohne den legitimen Verkehr zu beeinträchtigen.

Fazit: Der Schutz des Internets ist oberste Priorität

Die Cloudflare-Systeme haben den rekordverdächtigen DDoS-Angriff mit 7,3 Tbps erfolgreich und völlig autonom abgewehrt, ohne dass ein menschliches Eingreifen erforderlich war, ohne dass ein Alarm ausgelöst wurde und ohne dass es zu Zwischenfällen kam. Dies ist ein Beweis für die Wirksamkeit des führenden DDoS-Schutzsystems. Das Unternehmen hat dieses System als Teil seiner Mission entwickelt, ein besseres Internet zu schaffen, indem es sich verpflichtet hat, kostenlos und unbegrenzt DDoS-Schutz anzubieten.