Verteidigung des Internets: Wie Cloudflare einen riesigen DDoS-Angriff mit 7,3 Tbit/s abgewehrt hat

Mitte Mai 2025 hat Cloudflare den größten jemals verzeichneten DDoS-Angriff abgefangen, der einen beachtlichen Umfang von 7,3 Terabit pro Sekunde (Tbit/s) aufwies. In unserem kurz zuvor, am 27. April 2025, veröffentlichten Bericht zur DDoS-Bedrohungslandschaft im ersten Quartal 2025 hatten wir Attacken mit einem Umfang von 6,5 Tbit/s und 4,8 Milliarden Paketen pro Sekunde hervorgehoben. Der jüngste Angriff fiel 12 % höher aus als der zuvor von uns verzeichnete Rekordwert und 1 Tbit/s höher als eine kürzlich bei KrebsOnSecurity von dem auf Cybersicherheit spezialisierten Journalisten Brian Krebs gemeldete Attacke.

^{Neuer Weltrekord: DDoS-Angriff mit 7,3 Tbit/s von Cloudflare autonom blockiert}

Ziel des Angriffs war ein Hosting-Dienstleister von Cloudflare, der Magic Transit zum Schutz seines IP-Netzwerks einsetzt. Solche Provider und kritische Internetinfrastruktur stehen zunehmend im Visier von DDoS-Angriffen, wie wir in unserem neuesten DDoS-Bedrohungsbericht bereits berichtet haben. Unten dargestellt ist eine im Januar und Februar 2025 durchgeführte Angriffskampagne mit mehr als 13,5 Millionen DDoS-Einzelattacken gegen von Cloudflare geschützte Infrastruktur und Hosting-Anbieter.

^{Von Cloudflare geschützte Infrastruktur und Hosting-Anbieter sind Ziel einer DDoS-Kampagne}

Wir werden zunächst ein paar Eckdaten vorstellen und dann darauf eingehen, wie unsere Systeme diese Attacke erkannt und abgewehrt haben.

37,4 Terabyte sind nach heutigen Maßstäben kein überwältigender Wert, doch 37,4 Terabyte in nur 45 Sekunden zu übertragen, ist etwas Besonderes. Das wäre so, als würde man in gerade einmal 45 Sekunden sein Netzwerk mit mehr als 9.350 Filmen in HD-Qualität in voller Länge fluten oder 7.480 Stunden hochauflösende Videos ununterbrochen streamen (was knapp einem Jahr ununterbrochenem Binge-Watching entspricht). Würde es sich um Musik handeln, wäre das so, als würde man in unter einer Minute etwa 9,35 Millionen Songs herunterladen. Um sie sich alle hintereinander anzuhören, bräuchte man 57 Jahre. Oder stellen Sie sich vor, dass Sie 12,5 Millionen hochauflösende Fotos auf Ihrem Handy aufnehmen und Ihnen der Speicherplatz nie ausgeht: Selbst wenn Sie jeden Tag nur ein Foto machen, würden Sie 4.000 Jahre lang fotografieren, stattdessen dauert das Ganze aber nur 45 Sekunden. 

^{DDoS-Rekordangriff mit 7,3 Tbit/s überträgt 37,4 Terabit in 45 Sekunden}

Im Rahmen des Angriffs wurden im Durchschnitt 21.925 Zielports einer einzigen IP-Adresse bombardiert, die sich im Besitz eines Kunden befand und von ihm genutzt wurde. Auf dem Höhepunkt des Angriffs wurden 34.517 Zielports pro Sekunde erreicht. Ähnlich war die Verteilung der für die Attacke genutzten Quell-Ports. 

^{Verteilung der Ziel-Ports}

Bei der Attacke mit 7,3 Tbit/s handelte es sich um einen Multi-Vektor-DDoS-Angriff. Etwa 99,996 % des Angriffstraffics wurden als UDP-Flood-Attacken kategorisiert. Die verbleibenden 0,004 %, auf die 1,3 Gigabit des Angriffstraffics entfielen, wurden als QOTD-Reflection-, Echo-Reflection-, NTP-Reflection-, Mirai-UDP-Flood-, Portmap-Flood- und RIPv1-Amplification-Angriffe identifiziert.

^{Sonstige Angriffsarten neben UDP-Floods}

Im Folgenden werden Einzelheiten zu den verschiedenen bei dieser Attacke registrierten Angriffsarten beschrieben. Außerdem gehen wir darauf ein, wie Unternehmen vermeiden können, für Reflection- und Amplification-Attacken missbraucht zu werden. Wir geben zudem Tipps, wie sie sich gegen solche Angriffe verteidigen, ohne dabei den legitimen Datenverkehr zu beeinträchtigen. Cloudflare-Kunden sind vor diesen Angriffen geschützt.

UDP-DDoS-Angriff

• Typ: Flood

• Ablauf: Eine große Menge an UDP-Paketen wird an zufällige oder bestimmte Ports der Ziel-IP-Adresse(n) gesendet. Das kann den Zweck haben, die Internetverbindung vollständig zu beanspruchen oder interne Appliances durch eine zu große Zahl von Paketen zu überlasten.

• Abwehrmaßnahmen: Setzen Sie cloudbasierten Schutz vor volumetrischen DDoS-Angriffen ein, unterziehen Sie UDP-Traffic einer smarten Durchsatzbegrenzung und sorgen Sie dafür, dass unerwünschter UDP-Datenverkehr vollständig verworfen wird.

• Vermeidung unbeabsichtigter Auswirkungen: Aggressives Filtern verursacht unter Umständen Störungen legitimer UDP-Dienste wie VoIP, Videokonferenzen oder Online-Spiele. Deshalb sollten Sie bei der Festlegung von Schwellenwerten umsichtig sein.

QOTD-DDoS-Angriff

• Typ: Reflection und Amplification

• Ablauf: Missbraucht wird das Quote of the Day (QOTD)-Protokoll, das auf UDP-Port 17 lauscht und mit einer kurzen Nachricht antwortet. Angreifer senden QOTD-Anfragen von einer gefälschten IP-Adresse an exponierte Server, was zu einer verstärkten Zahl von Antworten führt, mit denen das Opfer bombardiert wird.

• Vorbeugung gegen den Missbrauch als Reflection/Amplification-Werkzeug: Deaktivieren Sie den QOTD-Dienst und blockieren Sie UDP/17 bei allen Servern und Firewalls.

• Abwehrmaßnahmen: Blockieren Sie eingehende UDP/17-Verbindungen. Wenn eine ungewöhnlich hohe Anzahl an UDP-Anfragen mit kleinen Paketmengen verzeichnet wird, sorgen Sie dafür, dass diese verworfen werden.

• Vermeidung unbeabsichtigter Auswirkungen: QOTD ist ein veraltetes Diagnose/Debugging-Protokoll und wird von modernen Anwendungen nicht mehr verwendet. Deshalb sollte seine Deaktivierung keine negativen Auswirkungen auf legitime Dienste haben.

Echo-DDoS-Angriff

• Typ: Reflection und Amplification

• Ablauf: Es wird das Echo-Protokoll (UDP/TCP-Port 7) ausgenutzt, das mit den gleichen Daten antwortet, die es empfängt. Die IP-Adresse des Opfers wird gefälscht, wodurch Geräte die Daten aufgrund des Reflection-Effekts „zurückspiegeln“ und den Angriff so verstärken.

• Vorbeugung gegen den Missbrauch als Reflection/Amplification-Werkzeug: Deaktivieren Sie den Echo-Dienst auf allen Geräten. Blockieren Sie UDP/TCP-Port 7 an der Edge.

• Abwehrmaßnahmen: Deaktivieren Sie den Echo-Dienst und sperren Sie TCP/UDP-Port 7 am Netzwerkperimeter.

• Vermeidung unbeabsichtigter Auswirkungen: Da es sich bei Echo um ein veraltetes Diagnosewerkzeug handelt, hat seine Deaktivierung oder Sperrung keine negativen Auswirkungen auf moderne Systeme.

NTP-DDoS-Angriff

• Typ: Reflection und Amplification

• Ablauf: Es wird das Network Time Protocoll (NTP) missbraucht, das der Synchronisierung der Uhrzeit über das Internet dient. Angreifer nutzen den monlist-Befehl auf alten NTP-Servern (UDP/123) aus, der eine umfangreiche Liste der letzten Verbindungen als Antwort ausgibt. Gefälschte Anfragen führen zu einem verstärkten Reflection-Effekt.

• Vorbeugung gegen den Missbrauch als Reflection/Amplification-Werkzeug: Aktualisieren oder konfigurieren Sie NTP-Server, sodass monlist deaktiviert wird. Beschränken Sie NTP-Abfragen auf vertrauenswürdige IP-Adressen.

• Abwehrmaßnahmen: Deaktivieren Sie den monlist-Befehl, aktualisieren Sie die NTP-Software und filtern oder begrenzen Sie den UDP/123-Datenverkehr.

• Vermeidung unbeabsichtigter Auswirkungen: Das Deaktivieren des monlist-Befehls hat keinerlei Auswirkungen auf die Zeitsynchronisierung. Allerdings kann eine zu weitreichende Filterung oder Sperrung von UDP/123 die Zeitsynchronisierung beeinträchtigen. Deshalb sollten Sie sicherstellen, dass wirklich nur nicht vertrauenswürdige oder externe Quellen blockiert werden.

Mirai-UDP-Angriff

• Typ: Flood

• Ablauf: Das Mirai-Botnetz besteht aus kompromittierten IoT-Geräten und bombardiert die Opfer mit zufälligen oder dienstspezifischen UDP-Paketen (z. B. DNS, Gaming-Dienste).

• Vorbeugung gegen den Missbrauch als Botnetz-Werkzeug: Schützen Sie Ihre IoT-Geräte, ändern Sie die Standardpasswörter, nehmen Sie eine Aktualisierung auf die neuesten Firmware-Versionen vor und wenden Sie bewährte Methoden der IoT-Sicherheit an, um nicht Teil eines Botnetzes zu werden. Überwachen Sie nach Möglichkeit den ausgehenden Datenverkehr auf Unregelmäßigkeiten.

• Abwehrmaßnahmen: Implementieren Sie cloudbasierten Schutz vor volumetrischen DDoS-Angriffen und Durchsatzbegrenzung für UDP-Traffic.

• Vermeidung unbeabsichtigter Auswirkungen: Zuerst sollten Sie sich ein Bild von Ihrem Netzwerk und der Art des Datenverkehrs, den Sie empfangen, machen – insbesondere der Protokolle, ihrer Ursprünge und Ziele. Ermitteln Sie Dienste, die über UDP laufen und die Sie nicht beeinträchtigen möchten. Danach können Sie Durchsatzbegrenzung so anwenden, dass die betreffenden Endpunkte ausgeschlossen werden oder Ihr normales Trafficaufkommen berücksichtigt wird. Andernfalls kann ein aggressives Rate Limiting von UDP-Traffic Ihren legitimen Datenverkehr und die Funktionsweise von über UDP laufenden Diensten wie VoIP-Anrufen und VPN-Datenverkehr beeinträchtigen.

Portmap-DDoS-Angriff

• Typ: Reflection und Amplification

• Ablauf: Mit dem Portmapper-Dienst (UDP/111), der von Remote Procedure Call (RPC)-basierten Anwendungen verwendet wird, werden verfügbare Dienste identifiziert. Gefälschte Anfragen führen zu einem Reflection-Effekt bei den Antworten.

• Vorbeugung gegen den Missbrauch als Reflection/Amplification-Werkzeug: Deaktivieren Sie den Portmapper-Dienst, wenn er nicht benötigt wird. Falls er intern erforderlich ist, beschränken Sie den Zugriff auf vertrauenswürdige IP-Adressen.

• Abwehrmaßnahmen: Deaktivieren Sie den Portmapper-Dienst, wenn er nicht benötigt wird, und blockieren Sie eingehenden UDP/111-Datenverkehr. Beschränken Sie den Zugriff auf bekannte RPC-Dienste durch Zugriffskontrolllisten oder Firewalls.

• Vermeidung unbeabsichtigter Auswirkungen: Die Deaktivierung von Portmapper kann Applikationen stören, die auf RPC zurückgreifen (wie das Network File System-Protokoll). Überprüfen Sie vor dem Deaktivieren die Dienstabhängigkeiten.

RIPv1-DDoS-Angriff

• Art: Reflexion und (leichte) Amplification

• Ablauf: Ausgenutzt wird das Routing Information Protocol Version 1 (RIPv1): ein altes, nicht authentifiziertes Distanzvektor-Routingprotokoll, das UDP/520 verwendet. Angreifer senden gefälschte Routing-Updates, um Netzwerke damit zu fluten oder Verwirrung zu stiften.

• Vorbeugung gegen den Missbrauch als Reflection/Amplification-Werkzeug: Deaktivieren Sie RIPv1 bei Ihren Routern und nutzen Sie dort, wo Routing erforderlich ist, stattdessen RIPv2.

• Abwehrmaßnahmen: Blockieren Sie eingehende UDP/520-Verbindungen von nicht vertrauenswürdigen Netzwerken. Halten Sie Ausschau nach unerwarteten Routing-Updates.

• Vermeidung unbeabsichtigter Auswirkungen: RIPv1 ist größtenteils veraltet, die Deaktivierung birgt normalerweise keine Gefahr. Falls Altsysteme jedoch auf diese Protokollversion zurückgreifen, sollten Sie vor der Vornahme von Änderungen das Routing-Verhalten überprüfen.

Alle hier genannten Empfehlungen sollten im Kontext und unter Berücksichtigung des Verhaltens jedes einzelnen Netzwerks oder jeder einzelnen Anwendung betrachtet werden, um unbeabsichtigte Auswirkungen auf legitimen Datenverkehr zu vermeiden.

Der Angriff stammte von über 122.145 Quell-IP-Adressen, die sich über 5.433 Autonome Systeme (AS) in 161 Ländern erstrecken. 

Fast die Hälfte des Angriffstraffics kam aus Brasilien und Vietnam, wobei auf diese Länder jeweils etwa ein Viertel des Datenverkehrs entfiel. Ein weiteres Drittel stammte aus Taiwan, China, Indonesien, der Ukraine, Ecuador, Thailand, den Vereinigten Staaten und Saudi-Arabien.

^{Die zehn wichtigsten Ursprungsländer für den Angriffstraffic}

Pro Sekunde wurden durchschnittlich 26.855 eindeutige Quell-IP-Adressen verzeichnet, zu Spitzenzeiten waren es 45.097.  

^{Verteilung der eindeutigen Quell-IP-Adressen}

Der Angriff ging von 5.433 verschiedenen Netzwerken (AS) aus. Telefonica Brazil (AS27699) war für 10,5 % des gesamten DDoS-Angriffs-Traffics verantwortlich. Die Vietel Group (AS7552) folgte dicht dahinter mit 9,8 %, während China Unicom (AS4837) und Chunghwa Telecom (AS3462) 3,9 % bzw. 2,9 % beisteuerten. Auf China Telecom (AS4134) entfielen 2,8 % des Datenverkehrs. Die restlichen ASN unter den Top 10, Claro NXT (AS28573), VNPT Corp (AS45899), UFINET Panama (AS52468), STC (AS25019) und FPT Telecom Company (AS18403) deckten jeweils zwischen 1,3 % und 1,8 % des gesamten DDoS-Angriffs-Traffics ab.

Top 10 der Quell-AS

Um Hosting-, Cloud-Computing- und Internet-Service-Anbietern bei der Ermittlung und Löschung der Konten zu helfen, von denen diese Angriffe gestartet werden, nutzen wir den einzigartigen Überblick von Cloudflare und stellen einen kostenlosen DDoS-Botnetz-Bedrohungsfeed für Service-Provider bereit. Über 600 Unternehmen rund um den Globus haben sich bereits für diesen Feed angemeldet. Er liefert Dienstanbietern eine Liste mit IP-Adressen unter ihrem ASN, von denen nach unseren Erkenntnissen HTTP-DDoS-Angriffe ausgehen. Er ist völlig gratis und Sie müssen lediglich ein kostenloses Cloudflare-Konto eröffnen, die ASN über PeeringDB authentifizieren und dann den Feed über die API abrufen.

Die angegriffene IP-Adresse wurde über das globale Anycast-Netzwerk von Cloudflare angekündigt. Deshalb wurden die an diese IP-Adresse gerichteten Angriffspakete zum nächstgelegenen Cloudflare-Rechenzentrum geleitet. Der Einsatz von globalem Anycast ermöglicht es uns, den Angriffs-Traffic zu verteilen und seine Dezentralität gegen ihn zu verwenden. Wir können in der Nähe der Botnetz-Knoten Maßnahmen ergreifen und Nutzer von den Rechenzentren aus versorgen, die ihnen am nächsten sind. Im vorliegenden Fall wurde der Angriff in 477 Rechenzentren an 293 Standorten weltweit erkannt und abgewehrt. An Standorten mit hohem Datenverkehrsaufkommen sind wir in mehreren Rechenzentren vertreten. 

Das globale Cloudflare-Netzwerk betreibt jeden Dienst in jedem Rechenzentrum, was auch unsere Systeme zur Erkennung und Abwehr von DDoS-Angriffen umfasst. Somit können Attacken unabhängig von ihrem Ursprung völlig autonom erkannt und bekämpft werden. 

Wenn ein Paket unser Rechenzentrum erreicht, wird darauf eine smarte Lastverteilung angewandt, um einen verfügbaren Server zu ermitteln. Anschließend werden Pakete direkt aus den Tiefen des Linux-Kernels entnommen, aus dem eXpress Data Path (XDP). Mit einem erweiterten Berkeley Packet Filter (eBPF)-Programm werden diese Stichproben in den Userspace geleitet, wo unser System sie analysiert.

Dabei wird auf Grundlage unserer einzigartigen Heuristik-Engine namens dosd (Denial of Service Daemon) nach verdächtigen Mustern gesucht, indem Gemeinsamkeiten der Paket-Header-Feldern ermittelt, Paketanomalien aufgespürt und andere unternehmenseigene Verfahren angewendet werden.

 ^{Flussdiagramm zur Erstellung eines Echtzeit-Fingerprints}

Für unsere Kunden ist dieses komplexe Fingerprinting-System in einer benutzerfreundlichen Gruppe von verwalteten Regeln enthalten, den DDoS Protection Managed Rulesets. 

Werden dosd Muster erkannt, erzeugt das Systeme mehrere Permutationen dieser Fingerprints, um den zu finden, der die höchste Wirksamkeit und Genauigkeit bei der Abwehr aufweist. Es wird also versucht, den Angriffstraffic mit chirurgischer Präzision abzugleichen, ohne den legitimen Datenverkehr dabei zu beeinträchtigen. 

^{Darstellung der DDoS-Schutzsysteme von Cloudflare} 

Wir zählen die verschiedenen Paket-Stichproben, die mit jeder Fingerprint-Permutation übereinstimmen, und verwenden einen Daten-Streaming-Algorithmus, um den Fingerprint mit den meisten Treffern zutage zu fördern. Werden die Aktivierungsschwellenwerte überschritten, wird zur Vermeidung von Fehlalarmen eine Abwehrregel, die auf der Fingerprint-Syntax basiert, als eBPF-Programm kompiliert. So werden Pakete verworfen, die dem Angriffsmuster entsprechen. Die Regel läuft ab und wird automatisch gelöscht, sobald der Angriff endet.

Wie bereits erwähnt, erkennt und blockiert jeder Server Angriffe völlig autonom. Das sorgt dafür, dass unser Netzwerk äußerst effizient arbeitet, belastbar ist und Attacken schnell abwehren kann. Darüber hinaus überträgt jeder Server (Multicast) die wichtigsten Fingerprint-Permutationen innerhalb eines Rechenzentrums und weltweit. Durch diesen Austausch von Bedrohungsdaten in Echtzeit erhöht sich die Wirksamkeit der Abwehrmaßnahmen innerhalb eines Rechenzentrums und auf der ganzen Welt. 

Unsere Systeme haben diesen DDoS-Rekordangriff mit 7,3 Tbit/s erfolgreich und völlig autonom – d. h. ganz ohne menschliches Eingreifen – abgewehrt, ohne Warnmeldungen auszulösen oder Zwischenfälle zu verursachen. Damit wurde die Wirksamkeit unserer weltweit führenden DDoS-Schutzsysteme unter Beweis gestellt. Bei der Entwicklung dieses System hatten wir unser Ziel im Blick, ein besseres Internet mit kostenlosem, uneingeschränktem DDoS-Schutz zu schaffen.