Cloudflare veröffentlichte am 19.06.2025 in einem Blogbeitrag Details zum bisher stärksten gemessenen Distributed Denial of Service (DDoS)-Angriff, den die Plattform erfolgreich abwehren konnte. Der vollständige Artikel von Cloudflare ist hier verfügbar: https://blog.cloudflare.com/defending-the-internet-how-cloudflare-blocked-a-monumental-7-3-tbps-ddos/.
Cloudflare stellt regelmäßig sogenannte DDoS Threat Reports zur Verfügung, die einen Einblick in die Angriffsmuster und -intensitäten geben, die auf die eigene Infrastruktur treffen. Diese Berichte bieten wertvolle Informationen darüber, wie sich DDoS-Angriffe im Zeitverlauf entwickeln und mit welcher Wucht sie aktuell durchgeführt werden.
Was ist ein (D)DoS-Angriff?
Denial of Service (DoS)-Angriffe zielen darauf ab, ein Zielsystem durch eine Vielzahl von Anfragen so stark zu überlasten, dass es nicht mehr erreichbar ist. Ein anschauliches Beispiel ist das Domain Name System (DNS): Ein Client stellt eine DNS-Anfrage an einen Server, um die IP-Adresse einer Domain zu erhalten. Antwortet der Server mit der entsprechenden IP, ist die Anfrage abgeschlossen.
Bei einem DoS-Angriff werden in diesem Szenario von einem einzelnen Client massenhaft sinnlose DNS-Anfragen gestellt. Das System wird überlastet und kann keine legitimen Anfragen mehr beantworten. Beim Distributed Denial of Service (DDoS)-Angriff stammen die Anfragen nicht nur von einem, sondern von vielen verschiedenen Systemen.
Ein sogenannter reflected DDoS-Angriff nutzt Drittsysteme, um durch manipulierte Anfragen ein Ziel zu überlasten. So kann beispielsweise eine DNS-Anfrage so verändert werden, dass sie scheinbar von einem anderen Client stammt – dem eigentlichen Ziel des Angriffs. Der DNS-Server antwortet dann dem falschen Client, wodurch dieser mit unerwünschten Antworten überlastet wird.
Noch verstärkt wird dieser Effekt beim reflected amplified DDoS-Angriff: Hier nutzen Angreifer gezielt Protokolle, bei denen die Antwort deutlich größer ist als die Anfrage. Mit vielen Clients werden kleine Anfragen gestellt und so manipuliert, dass sie scheinbar vom Zielsystem stammen. Die Antwort des Servers ist um ein Vielfaches größer und trifft das Zielsystem mit enormer Wucht.
Der 7.3 Tbps DDoS-Angriff
Der von Cloudflare dokumentierte Angriff erreichte eine Bandbreite von 7.3 Tbps und dauerte lediglich 45 Sekunden. Das Ziel war ein Hosting-Provider, der im Artikel nicht namentlich genannt wird. Cloudflare veranschaulicht die Datenmenge mit einer Grafik: Innerhalb von 45 Sekunden wurden 37.4 TB übertragen – das entspricht etwa 9.350 HD-Filmen oder über neun Millionen Songs.
Der Angriff bestand aus einer Kombination verschiedener DoS-Techniken. 99,996 % des Traffics wurden als UDP Flood klassifiziert, also dem direkten Versand von UDP-Paketen von zahlreichen Clients an das Ziel. Die verbleibenden 0,004 % stammten aus einem UDP Flood des Mirai-Botnets sowie aus „reflected amplified“-Methoden mit verschiedenen Protokollen.
Interessant ist die Nutzung des sogenannten Quote of the Day (QOTD)-Protokolls. Dieses wurde in den Anfangsjahren des Internets eingeführt, um einfache Tests zu ermöglichen. Geräte, die das Protokoll unterstützen, antworten auf eine Anfrage an Port 17 per UDP mit einem Zitat des Tages. Ist das Zitat größer als die Anfrage, kann das Protokoll auch für reflected amplified-Angriffe missbraucht werden.
Insgesamt wurden Angriffe von 122.145 verschiedenen IP-Adressen beobachtet.
Abwehr des Angriffs durch Cloudflare
Das Ziel des Angriffs war durch die Nutzung der Cloudflare-Infrastruktur bereits geschützt. Cloudflare verteilt Anfragen basierend auf ihrem Ursprung auf verschiedene Rechenzentren. So wird bei einem Angriff nicht ein einzelnes Gerät adressiert, sondern viele Systeme in unterschiedlichen Standorten. Zudem erkennt die Cloudflare-Infrastruktur Anomalien im Traffic und erstellt einen digitalen Fingerabdruck inklusive Abweichungen. Pakete, die diesem Muster entsprechen, werden nicht weiter bearbeitet. Cloudflare bezeichnet den Austausch dieser Fingerabdrücke und Abweichungen als „gossiping“.
Fazit
Das Katz-und-Maus-Spiel zwischen DDoS-Angreifern und den Schutzmechanismen von Infrastrukturanbietern ist ein ständiger Wettlauf. Es ist zu erwarten, dass der nächste Rekordangriff nicht lange auf sich warten lässt. Bemerkenswert ist, dass für solche Angriffe häufig Protokolle verwendet werden, deren Ursprung in den Anfangsjahren des Internets liegt und deren ursprüngliche Zwecke weit entfernt von Missbrauchsszenarien waren. Das unterstreicht die Notwendigkeit, diese Protokolle in Netzwerken nicht zu vernachlässigen und stets zu überwachen, ob die eigene Infrastruktur nicht Teil eines DDoS-Angriffs oder eines Botnets wird.