Cloudflare weist Rekord-DDos-Angriff erfolgreich zurück

Cloudflare wehrt größten DDoS-Angriff der Geschichte ab

Mitte Mai 2025 konnte Cloudflare einen Distributed Denial-of-Service (DDoS)-Angriff von beispiellosem Ausmaß abwehren. Mit 7,3 Terabit pro Sekunde (Tbps) übertraf der Angriff den bisherigen Rekord von Cloudflare um 12 Prozent und einen weiteren kürzlich erfolgten Angriff um volle 1 Tbps. Erst kurz zuvor hatte das Unternehmen seinen DDoS-Bedrohungsbericht für das erste Quartal 2025 veröffentlicht, in dem Angriffe mit bis zu 6,5 Tbps dokumentiert wurden.

Ziel des massiven Cyberangriffs war ein Hosting-Provider, der den Magic Transit-Service von Cloudflare zum Schutz seines IP-Netzwerks nutzt. Dies entspricht einem Trend, den Cloudflare beobachtet: Hosting-Provider und andere kritische Internetinfrastrukturen geraten zunehmend ins Visier von DDoS-Kampagnen.

Um das enorme Volumen des Angriffs zu veranschaulichen: Die 7,3 Tbps entsprechen 37,4 Terabyte an Daten, die innerhalb von nur 45 Sekunden übertragen wurden. 37,4 Terabyte mögen für sich genommen nicht überwältigend erscheinen, doch diese Datenmenge in weniger als einer Minute zu übertragen, entspricht der Flutung eines Netzwerks mit den Daten von über 9.350 HD-Filmen in voller Länge.

Ein komplexer, mehrgleisiger Angriff

Laut Cloudflare handelte es sich bei dem DDoS-Angriff nicht um eine einfache Flut, sondern um einen komplexen, mehrgleisigen Angriff. Der Großteil des Traffics, fast 100 Prozent, wurde als UDP-Flood identifiziert. Diese gängige Methode versucht, die Internetverbindung des Ziels mit mehr Paketen zu überlasten, als es verarbeiten kann. Ein kleinerer Teil des Angriffs bestand jedoch aus komplexeren Reflexions- und Verstärkungstechniken – darunter QOTD-, Echo- und NTP-Reflexionsangriffe sowie Angriffe des berüchtigten Mirai-Botnetzes.

Diese Reflexionsangriffe missbrauchen legitime, aber oft veraltete Internetprotokolle. Beispielsweise nutzt ein Echo-DDoS-Angriff ein Diagnosetool auf UDP/TCP-Port 7 aus, das mit denselben Daten antwortet, die es empfängt. Angreifer fälschen die IP-Adresse des Opfers, wodurch zahlreiche Geräte Daten zurückreflektieren und den Angriff verstärken. Ähnlich verhält es sich mit dem QOTD-Angriff, der das "Quote of the Day"-Protokoll auf UDP-Port 17 missbraucht. Experten raten, diese Protokolle zu deaktivieren, da sie veraltet sind und keine negativen Auswirkungen auf moderne Systeme haben sollten.

Globale Herkunft des Angriffs

Cloudflare stellt fest, dass die digitalen Fingerabdrücke des DDoS-Angriffs auf ein riesiges, verteiltes Netzwerk kompromittierter Geräte hindeuten. Der schädliche Datenverkehr stammte von über 122.145 eindeutigen IP-Adressen, verteilt auf mehr als 5.400 autonome Systeme in 161 Ländern. Fast die Hälfte des Angriffstraffics kam aus nur zwei Ländern: Brasilien und Vietnam. Ein weiteres Drittel stammte aus Taiwan, China, Indonesien, der Ukraine, Ecuador, Thailand, den USA und Saudi-Arabien.

Die Analyse der beteiligten Netzwerke ergab, dass Telefonica Brazil mit 10,5 Prozent des Angriffstraffics die größte Einzelquelle war, dicht gefolgt von der Viettel Group aus Vietnam mit 9,8 Prozent.

Cloudflares Verteidigungsstrategie

Cloudflare nutzt ein globales Anycast-Netzwerk zur Abwehr von DDoS-Angriffen. Das bedeutet, dass bei einem Angriff auf eine von Cloudflare geschützte IP-Adresse der schädliche Datenverkehr an das nächstgelegene der 477 Rechenzentren von Cloudflare weitergeleitet wird. Dies verteilt die Last global und nutzt die verteilte Natur des Angriffs effektiv gegen ihn selbst.

Wenn Pakete in ein Cloudflare-Rechenzentrum gelangen, wird eine Stichprobe in Echtzeit von einem System namens "dosd" (Denial of Service Daemon) analysiert. Diese Engine identifiziert verdächtige Muster in den Daten. Sobald ein Bedrohungsmuster bestätigt ist, generiert das System einen Fingerabdruck, um den schädlichen Datenverkehr gezielt zu identifizieren, ohne dabei legitime Benutzer zu beeinträchtigen. Anschließend wird eine Abwehrregel erstellt und eingesetzt, um alle Pakete zu verwerfen, die dem Angriffsmuster entsprechen. Dieser gesamte Prozess läuft autonom ab, und wenn der Angriff nachlässt, wird die Abwehrregel automatisch entfernt.

Jeder Server im Netzwerk von Cloudflare tauscht Bedrohungsinformationen mit seinen Peers aus, sowohl innerhalb des eigenen Rechenzentrums als auch weltweit. Dieses "Austauschen" von Informationen über Angriffe stellt sicher, dass Echtzeitinformationen geteilt werden, was die Effektivität und Widerstandsfähigkeit des gesamten Netzwerks erhöht.

Die erfolgreiche Abwehr dieses 7,3-Tbps-DDoS-Angriffs durch Cloudflare zeigt die entscheidende Bedeutung automatisierter, verteilter Sicherheitsarchitekturen in einer Zeit eskalierender Cyberbedrohungen.

Bibliographie: - https://www.telecomstechnews.com/news/cloudflare-neutralises-largest-ddos-onslaught-in-history/ - https://cybermagazine.com/articles/cloudflare-lessons-from-halting-the-worlds-biggest-ddos - https://www.cloudflare.com/learning/ddos/famous-ddos-attacks/ - https://x.com/Gadget_Ry/status/1936055422311403860 - https://www.bleepingcomputer.com/news/security/cloudflare-blocks-record-73-tbps-ddos-attack-against-hosting-provider/ - https://www.cloudflare.com/press-releases/2024/cloudflare-and-booz-allen-hamilton-now-delivering-rapid-incident-response/ - https://www.cloudsecuretech.com/top-10-most-well-known-ddos-attacks/ - https://cyberscoop.com/cloudflare-biggest-ddos-attack-mirai-variant-botnet/ - https://www.vulnu.com/p/cloudflare-thwarts-largest-ddos-attack-in-internet-history