Von 20,5 Millionen DDoS-Angriffen betroffen, ein Anstieg um 358 % im Jahresvergleich: Der Cloudflare-Bericht zur DDoS-Bedrohungslandschaft für das erste Quartal 2025

Willkommen zur 21. Ausgabe des Cloudflare-Berichts zur DDoS-Bedrohungslandschaft. Er erscheint vierteljährlich und bietet eine eingehende Analyse der sich verändernden Bedrohungslage durch DDoS ((Distributed Denial of Service)-Angriffe. Grundlage bilden Daten aus dem Cloudflare-Netzwerk. In dieser Ausgabe konzentrieren wir uns auf das erste Quartal 2025. Frühere Berichte finden Sie unter www.ddosreport.com.

Dieser Bericht konzentriert sich zwar in erster Linie auf das erste Quartal 2025, enthält aber auch aktuelle Daten aus einer hypervolumetrischen DDoS-Kampagne, die im April 2025 beobachtet wurde, bei der einige der bislang größten öffentlich bekannten Angriffe registriert wurden. In einem historischen Anstieg der Aktivität blockierten wir den bislang intensivsten Paketraten-Angriff mit einem Spitzenwert von 4,8 Milliarden Paketen pro Sekunde (Bpps) – 52 % höher als der bisherige Rekordwert – und wehrten zudem separat eine massive Flood von 6,5 Terabit pro Sekunde (Tbps) ab, was den bislang höchsten gemeldeten Bandbreitenangriffen entspricht.

• Im ersten Quartal 2025 hat Cloudflare 20,5 Millionen DDoS-Angriffe blockiert. Das entspricht einem Anstieg von 358 % im Jahresvergleich und einem Anstieg von 198 % im Quartalsvergleich. 

• Rund ein Drittel davon, 6,6 Millionen, zielten im Rahmen einer 18-tägigen Multi-Vektor-Angriffskampagne direkt auf die Cloudflare-Netzwerk-Infrastruktur ab.

• Darüber hinaus blockierte Cloudflare im ersten Quartal 2025 etwa 700 hypervolumetrische DDoS-Angriffe mit mehr als 1 Tbit/s bzw. 1 Milliarde Paketen pro Sekunde. Im Durchschnitt waren es etwa acht Attacken pro Tag.

Alle Angriffe wurden durch unsere autonome Abwehr blockiert.

Um mehr über DDoS-Angriffe und andere Arten von Cyberbedrohungen zu erfahren, besuchen Sie unser Learning Center. Besuchen Sie Cloudflare Radar, um diesen Bericht in der interaktiven Version anzusehen und detaillierte Einblicke zu erhalten. Es gibt eine kostenlose API für diejenigen, die Internettrends genauer untersuchen möchten. Bei Interesse können Sie außerdem mehr über die bei der Erstellung dieser Berichte angewandten Methoden erfahren.

Im ersten Quartal 2025 haben wir 20,5 Millionen DDoS-Angriffe blockiert. Zum Vergleich: Im Kalenderjahr 2024 haben wir 21,3 Millionen DDoS-Angriffe blockiert. Allein im vergangenen Quartal haben wir damit bereits 96 % der Angriffe abgewehrt, die wir im Jahr 2024 insgesamt blockiert haben.

Der stärkste Anstieg war bei DDoS-Angriffen auf der Netzwerkebene zu verzeichnen. Im ersten Quartal 2025 haben wir 16,8 Millionen DDoS-Angriffe auf der Netzwerkebene abgewehrt. Das entspricht einer Steigerung um 397 % im Quartals- und 509 % im Jahresvergleich. Auch HTTP-DDoS-Angriffe haben zugenommen – ein Anstieg von 7 % gegenüber dem Vorquartal und ein Anstieg von 118 % im Jahresvergleich.

Wir zählen DDoS-Angriffe auf der Grundlage eindeutiger Echtzeit-Fingerprints, die von unseren Systemen erstellt werden. In einigen Fällen kann ein einzelner Angriff oder eine einzelne Kampagne mehrere Fingerprints erzeugen, insbesondere wenn verschiedene Abwehrstrategien zum Einsatz kommen. Dies kann zwar gelegentlich zu höheren Zahlen führen, aber die Kennzahl bietet einen guten Gesamtindikator für die Angriffsaktivität während eines bestimmten Zeitraums.

Von den 20,5 Millionen im ersten Quartal abgewehrten DDoS-Attacken waren 16,8 Millionen DDoS-Attacken auf Netzwerkschicht, und davon zielten 6,6 Millionen direkt auf die Netzwerkinfrastruktur von Cloudflare ab. Weitere 6,9 Millionen zielten auf Hosting-Provider und Service-Provider ab, die durch Cloudflare geschützt werden.

Diese Angriffe waren Teil einer 18-tägigen Multi-Vektor-DDoS-Kampagne, die unter anderem SYN-Flood-Angriffe, Mirai-generierte DDoS-Angriffe und SSDP-Amplification-Angriffe umfasste. Diese Angriffe wurden, wie alle der 20,5 Millionen, von unserer DDoS-Abwehr autonom erkannt und blockiert.

In der folgenden Grafik ist die tägliche Gesamtzahl der Angriffe auf Cloudflare durch die blaue Linie dargestellt. Die anderen Farben stellen die verschiedenen Hosting-Provider und Internet-Service-Provider dar, die den Cloudflare Magic Transit Service nutzen, die gleichzeitig angegriffen wurden.

Hypervolumetrische DDoS-Attacken sind Angriffe mit mehr als 1–2 Tbit/s oder 1 Milliarde Paketen pro Sekunde. Im ersten Quartal 2025 haben wir mehr als 700 dieser Angriffe blockiert. Ungefähr 4 von 100.000 DDoS-Angriffen auf der Netzwerkebene waren hypervolumetrisch. Hypervolumetrische DDoS-Angriffe finden tendenziell über UDP statt.

Auch wenn sich dieser Bericht in erster Linie auf das erste Quartal 2025 konzentriert, halten wir es für wichtig, auch die bedeutenden hypervolumetrischen Rekord-DDoS-Angriffe hervorzuheben, die im zweiten Quartal andauerten. Daher haben wir erste Einblicke in diese Angriffskampagne aufgenommen.

In der zweiten Aprilhälfte 2025 erkannten und blockierten die Cloudflare-Systeme automatisch Dutzende von hypervolumetrischen DDoS-Angriffen im Rahmen einer intensiven Kampagne. Die größten Angriffe erreichten Spitzenwerte von 4,8 Milliarden Paketen pro Sekunde und 6,5 Tbit/s, wobei diese massiven Ausschläge in der Regel zwischen 35 und 45 Sekunden dauerten. Mit 6,5 Tbit/s entspricht dieser Angriff dem bisher größten öffentlich bekanntgewordenen DDoS-Angriff. Gemessen an der Paketintensität handelte es sich um den größten Angriff mit 4,8 Bpps, der jemals bekannt gegeben wurde. Er war etwa 52 % größer als der bisherige Rekordangriff mit 3,15 Bpps.

Die Angriffe kamen aus 147 Ländern und richteten sich gegen mehrere IP-Adressen und Ports eines Hosting-Providers, der durch Cloudflare Magic Transit geschützt ist. Alle diese Angriffe wurden erfolgreich durch das Cloudflare-Netzwerk blockiert.

Die Mehrheit der befragten, von DDoS-Attacken betroffenen Cloudflare-Kunden wusste nach eigenen Angaben nicht, von wem der Angriff ausging. Unter den Firmen, denen die Identität des Angreifers bekannt war, gaben 39 % an, dass ihre Konkurrenten hinter der Bedrohung steckten. Dies ähnelt dem Wert des letzten Quartals. Dies ist in der Gaming- und Glücksspielbranche durchaus üblich.

Weitere 17 % gaben an, dass ein staatlicher oder von einem Staat unterstützter Bedrohungsakteur hinter dem Angriff steckte, und ein ähnlicher Prozentsatz gab an, dass ein unzufriedener Benutzer oder Kunde hinter dem Angriff steckte. 

11 % sagten, dass sie sich irrtümlich selbst verursacht haben (Self-DDoS-Angriff), und bei einem ähnlichen Prozentsatz wurde angegeben, dass ein Erpresser hinter der Attacke steckte. 6 % berichteten, dass die Angriffe von verärgerten oder ehemaligen Mitarbeitenden ausgingen.

Auf der Netzwerkebene sind SYN-Floods nach wie vor der häufigste DDoS-Angriffsvektor auf Layer-3/4, gefolgt von DNS-Flood-Angriffen. Per Mirai gestartete DDoS-Angriffe nehmen den dritten Platz ein und verdrängen damit UDP-Flood-Angriffe.

Im HTTP-Bereich wurden mehr als 60 % der Angriffe als bekannte Botnets identifiziert und blockiert. 21 % waren Angriffe mit verdächtigen HTTP-Attributen, weitere 10 % wurden von Botnets gestartet, die sich als Browser ausgaben. Bei den restlichen 8 % handelte es sich um generische Flood-Angriffe, Angriffe mit ungewöhnlichen Anfragemustern und Cache-Busting-Angriffe.

Im ersten Quartal 2025 verzeichneten wir einen Anstieg der CLDAP-Reflection/Amplification-Angriffe um 3.488 % gegenüber dem Vorquartal. CLDAP (Connectionless Lightweight Directory Access Protocol) ist eine Variante von LDAP (Lightweight Directory Access Protocol), das zum Abfragen und Ändern von Verzeichnisdiensten verwendet wird, die über IP-Netzwerke ausgeführt werden. CLDAP ist verbindungslos und verwendet UDP anstelle von TCP, wodurch es zwar schneller, aber auch weniger zuverlässig ist. Da UDP verwendet wird, ist kein Handshake erforderlich, was es Angreifern ermöglicht, die Quell-IP-Adresse zu fälschen und als Reflection-Vektor zu nutzen. Bei diesen Angriffen werden kleine Anfragen mit einer gefälschten Quell-IP-Adresse (der IP-Adresse des Opfers) gesendet, was dazu führt, dass die Server große Antworten an das Opfer senden und es damit überfordern. Zur Abwehr dieser Angriffe gehört das Filtern und Überwachen von ungewöhnlichem CLDAP-Traffic.

Wir haben auch einen Anstieg von 2.301 % im Quartalsvergleich bei ESP-Reflection/Amplification-Angriffen festgestellt. Das ESP-Protokoll (Encapsulating Security Payload) ist Teil von IPsec und ermöglicht Vertraulichkeit, Authentifizierung und Integrität in der Netzwerkkommunikation. Es kann jedoch bei DDoS-Angriffen missbraucht werden, wenn böswillige Akteure falsch konfigurierte oder anfällige Systeme ausnutzen, um den Datenverkehr in Richtung eines Ziels zu lenken (durch Reflection) oder zu verstärken, sodass die Funktionsweise eines Diensts beeinträchtigt wird. Wie bei anderen Protokollen ist es entscheidend, die Systeme, die ESP verwenden, zu sichern und richtig zu konfigurieren, um die Gefahren von DDoS-Angriffen zu blockieren.

Trotz der Zunahme hypervolumetrischer Angriffe sind die meisten DDoS-Angriffe klein. Im ersten Quartal 2025 lagen 99 % der DDoS-Angriffe auf Ebene 3/4 unter 1 Gbit/s und 1 Mpps. Ebenso erreichten 94 % der HTTP-DDoS-Angriffe 1 Million Anfragen pro Sekunde (RPS). Allerdings ist „klein“ ein relativer Begriff und die meisten Internetwebsites wären nicht in der Lage, selbst solchen kleinen Angriffen standzuhalten. Solche Angriffe können leicht ungeschützte Internetverbindungen überlasten und ungeschützte Server zum Absturz bringen.

Außerdem sind die meisten Angriffe nur von sehr kurzer Dauer. 89 % der Layer-3/4-DDoS-Angriffe und 75 % der HTTP-DDoS-Angriffe enden innerhalb von 10 Minuten. Selbst die größten, rekordverdächtigen hypervolumetrischen DDoS-Angriffe können sehr kurz sein, wie der in den obigen Beispielen gezeigte 35-Sekunden-Angriff. 35 Sekunden oder selbst 10 Minuten sind nicht eine ausreichende Zeit für die manuelle Abwehr oder die Aktivierung einer On-Demand-Lösung: Wenn ein Sicherheitsanalyst die Warnung erhält und den Angriff analysiert, ist er bereits vorüber. Und auch wenn die Angriffe sehr kurz sein können, führen ihre Folgeeffekte zu Netzwerk- und Anwendungsausfällen, deren Behebung Tage dauern kann – und das, während die Dienste ausfallen oder beeinträchtigt werden. Die aktuelle Bedrohungslandschaft lässt keine Zeit für menschliches Eingreifen. Die Erkennung und Abwehr sollte kontinuierlich, innerhalb des Netzwerkpfads und automatisiert erfolgen – mit ausreichender Kapazität und globaler Abdeckung, um sowohl den Angriffstraffic als auch den legitimen Traffic zu Spitzenzeiten zu bewältigen.

Dagegen hat sich der Anteil der hypervolumetrischen HTTP-DDoS-Attacken mit mehr als 1 Million Anfragen pro Sekunde verdoppelt. Im ersten Quartal 2025 überschritten 6 von 100 HTTP-DDoS-Angriffen 1 Million Anfragen pro Sekunde. Auf der Netzwerkebene überschritt einer von 100.000 Angriffen 1 Tbit/s bzw. 1 Milliarde Pakete pro Sekunde.

Ein Beispiel für einen solchen Angriff war ein Cloudflare Magic Transit-Kunde. Der Kunde selbst ist ein in den USA ansässiger Hosting-Provider, der unter anderem Webserver, Voice-over-IP (VoIP)-Server und Game-Server anbietet. Dieser konkrete Angriff richtete sich gegen Port 27015. Dieser Port wird am häufigsten mit Multiplayer-Gaming-Servern in Verbindung gebracht, insbesondere mit Spielen auf der Source-Engine von Valve wie Counter-Strike: Global Offensive (CS:GO), Team Fortress 2, Garry’s Mod, Left 4 Dead und Half-Life 2: Deathmatch.

Er wird für die Verbindung zum Spieleserver verwendet und ermöglicht es Clients, sich zum Online-Spielen mit dem Server zu verbinden. In vielen Fällen ist dieser Port sowohl für UDP als auch für TCP offen, je nach Spiel und der Art der Kommunikation. Dieser Kunde wurde mehrfach Ziel hypervolumetrischer Angriffe, die von Cloudflare autonom abgewehrt wurden.

Im ersten Quartal 2025 gab es eine deutliche Verschiebung in den Top 10 der am häufigsten angegriffenen Länder weltweit. Deutschland hat einen bemerkenswerten Sprung gemacht und ist um vier Plätze aufgestiegen – was es zum am meisten angegriffenen Land macht. Auf Rang zwei verzeichnete die Türkei ebenfalls einen Zuwachs um 11 Plätze. An dritter Stelle folgt China, das im Vergleich zum Vorquartal um zwei Plätze gefallen ist, während Hongkong unverändert blieb. Indien legte um vier Plätze zu, Brasilien blieb unverändert. Taiwan fiel um vier Positionen zurück. Den größten Rückgang verzeichneten die Philippinen, die um sechs Ränge fielen. Südkorea und Indonesien schnellten jedoch um jeweils zwei Ränge in die Höhe.

Bei den zehn am häufigsten angegriffenen Branchen wurden im ersten Quartal 2025 einige bemerkenswerte Veränderungen verzeichnet. Die Glücksspiel- und Casino-Branche stieg als am meisten angegriffene Branche um vier Plätze, während die Telekommunikationsbranche, Service-Provider und Datennetzbetreiber um einen Platz abrutschten. Die Branchen Informationstechnologie und Dienstleistungen und Internet verzeichneten beide kleinere Schwankungen und kletterten um einen Platz nach oben bzw. fielen um zwei Plätze zurück. Die Branchen Gaming und Banken- und Finanzdienstleistungen verzeichneten beide einen Anstieg um einen Platz, während die Cybersicherheitsbranche im Vergleich zum Vorquartal einen gewaltigen Anstieg um 37 Plätze verzeichnete. Der Einzelhandel rutschte leicht um einen Platz ab, während die Branche Verarbeitung, Maschinen, Technologie und Ingenieurwesen um 28 Plätze nach oben kletterte. Die Airlines-, Luftfahrt- und Raumfahrtbranche legte den größten Sprung hin und stieg um 40 Plätze auf, was sie zur zehntmeist angegriffenen Branche macht.

Auch die Rangfolge der zehn wichtigsten Ursprungsländer von DDoS-Angriffen hat sich im ersten Quartal 2025 deutlich verändert. Hongkong schoss auf die Spitzenposition und kletterte gegenüber dem Vorquartal um drei Plätze nach oben. Indonesien fiel leicht auf den zweiten Platz zurück, während Argentinien um zwei Plätze auf den dritten Platz vorrückte. Singapur fiel um zwei Plätze auf den vierten Platz zurück und die Ukraine fiel um einen auf den fünften Platz zurück. Brasilien machte einen bemerkenswerten Sprung und kletterte um sieben Plätze auf den sechsten Platz, dicht gefolgt von Thailand, das ebenfalls um sieben Plätze auf den siebten Platz stieg. Deutschland legte ebenfalls zu und rückte um zwei Positionen auf Rang acht vor. Den stärksten Anstieg verzeichnete Vietnam, das um 15 Plätze nach oben ging und nun auf Rang neun landete. Bulgarien vervollständigte die Liste und fiel um zwei Plätze auf Rang zehn zurück.

Eine ASN (Autonomous System Number) ist eine eindeutige Kennung, die einem Netzwerk oder einer Gruppe von IP-Netzwerken zugewiesen wird, die unter einer einzigen Routing-Richtlinie im Internet arbeiten. Es wird zum Austausch von Routing-Informationen zwischen Systemen unter Verwendung von Protokollen wie BGP (Border Gateway Protokoll) verwendet.

Wenn man sich ansieht, woher insbesondere HTTP-DDoS-Angriffe kommen, stechen einige autonome Systeme heraus. Die in Deutschland ansässige Firma Hetzner (AS24940) war im ersten Quartal 2025 weiterhin die größte Quelle von HTTP-DDoS-Angriffen. Dahinter folgten OVH (AS16276) aus Frankreich auf dem zweiten Platz, DigitalOcean (AS14061) aus den USA auf dem dritten Platz und ein weiterer in Deutschland ansässiger Anbieter, Contabo (AS51167), auf dem vierten Platz. 

Weitere wichtige Quellen waren ChinaNet Backbone (AS4134) und Tencent (AS132203) aus China, Drei (AS200373) aus Österreich und drei US-Anbieter, die die Top 10 abschlossen: Microsoft (AS8075) und Oracle (AS31898). , und Google Cloud Platform (AS396982). Bei den meisten Netzwerken in dieser Rangliste handelt es sich um bekannte Cloud-Computing- oder Hosting-Anbieter. Dies verdeutlicht, dass Cloud-Infrastrukturen häufig absichtlich oder durch Ausnutzung von DDoS-Angriffen genutzt werden.

Um Hosting-Anbietern, Cloud-Computing-Anbietern und Internet-Service-Providern dabei zu helfen, die missbräuchlichen Konten zu identifizieren und zu entfernen, die diese Angriffe starten, nutzen wir den einzigartigen Überblick von Cloudflare, um einen kostenlosen DDoS-Botnet-Bedrohungsfeed für Service-Provider bereitzustellen. Über 600 Organisationen weltweit haben sich bereits für diesen Feed angemeldet. Er liefert Dienstanbietern eine Liste mit schädlichen IP-Adressen aus ihrem ASN, die unserer Ansicht nach HTTP-DDoS-Angriffe starten. Er ist völlig kostenlos und Sie müssen lediglich ein kostenloses Cloudflare-Konto eröffnen, die Autonomous System Number über PeeringDB authentifizieren und dann die Bedrohungsdaten über die API abrufen.

Cloudflare sieht seine Aufgabe darin, ein besseres Internet zu schaffen. Ein wichtiger Teil dieses Engagements besteht darin, kostenlosen Schutz vor DDoS-Angriffen anzubieten und die Internet-Community im Allgemeinen durch die Bereitstellung kostenloser Tools zu unterstützen, die anderen Netzwerken helfen, Botnets in ihrer Infrastruktur zu erkennen und zu zerschlagen.

Angesichts der steten Weiterentwicklung der Bedrohungslandschaft stellen wir fest, dass viele Unternehmen DDoS-Schutz weiterhin erst nach einem Angriff einsetzen oder sich auf veraltete, bedarfsgesteuerte Lösungen verlassen. Im Gegensatz dazu zeigen unsere Daten, dass Unternehmen mit proaktiven Sicherheitsstrategien weitaus widerstandsfähiger sind. Deshalb konzentrieren wir uns auf die Automatisierung und einen umfassenden, stets aktiven Inline-Sicherheitsansatz, um bestehenden und neuen Bedrohungen einen Schritt voraus zu sein.

Unterstützt durch unser globales Netzwerk mit einer Kapazität von 348 Tbit/s, das sich über 335 Städte erstreckt, sind wir weiterhin bestrebt, DDoS-Schutz ohne Volumenbegrenzung zu bieten, unabhängig von der Größe, Dauer oder Häufigkeit der Angriffe.