Cloudflare hat den bislang größten hypervolumetrischen DDoS-Angriff abgewehrt. Der Peak lag bei 11,5 Tbit/s bei einer Intensität von bis zu 5,1 Milliarden Paketen pro Sekunde (pps). Der UDP‑Flood dauerte rund 35 Sekunden. Der Angriffsverkehr stammte aus Subnetzen mehrerer Cloud- und IoT-Anbieter; unter den Quellen wurde auch Google Cloud genannt. Cloudflare kündigte einen ausführlichen technischen Bericht an.
Groesste DDoS-Attacke 2025: Umfang und Angriffsvektor
Laut Cloudflare registrierte die Infrastruktur in den vergangenen Wochen Hunderte hypervolumetrischer Vorfälle; die Spitze markierte 11,5 Tbit/s. Beim UDP‑Flood erzeugen Angreifende große Mengen zustandsloser Pakete. Das erschwert die Filterung, beansprucht Leitungen und überlastet Netzwerkgeräte, lange bevor eine Anwendungsebene erreicht wird.
bps vs. pps: Warum zwei Kennzahlen entscheidend sind
Bit/s (bps) beschreibt die Auslastung der Bandbreite und zeigt, wie effizient eine Attacke Leitungen sättigt. Pakete/s (pps) quantifiziert den Druck auf die Daten-/Control-Plane von Routern, Firewalls und Servern (CPU, Queues, Zustands-Tabellen). Die Kombination aus hohen bps und pps zielt darauf ab, sowohl den Durchsatz zu drosseln als auch die Paketverarbeitung zu erschöpfen – ein Muster, das bei modernen, kurzlebigen DDoS‑Impulsen immer häufiger zu sehen ist.
Trend 2025: Eskalation der Volumina und automatisierte Angriffe
Bereits im Juni 2025 meldete Cloudflare eine Spitze von 7,3 Tbit/s gegen einen Hosting‑Provider – etwa 12 % über dem Januarrekord von 5,6 Tbit/s. Damals wurden in 45 Sekunden rund 37,4 TB übertragen, was Tausenden Stunden HD‑Streaming entspricht. Der Cloudflare‑Report für Q1/2025 nennt über 21,3 Mio. DDoS‑Angriffe gegen Kunden sowie mehr als 6,6 Mio. gegen die eigene Infrastruktur. Die Zahlen belegen die steigende Frequenz, Leistungsspitzen und den wachsenden Einfluss skalierbarer Cloud‑Ressourcen und Automatisierung.
Infrastruktur der Angreifer: Cloud und IoT als Doppelhebel
Cloud‑Ressourcen als Verstärker
Missbrauchte oder fehlkonfigurierte Accounts in Public Clouds ermöglichen extremen Ausstoß an Datenverkehr über globale Standorte. Kurze, aber hochintensive Traffic‑Bursts erschweren Geolokations‑Blocking und klassische Korrelation. Cloudflare ordnete Teile des Traffics Google Cloud und weiteren Providern zu.
IoT‑Botnetze und reflektierte UDP‑Amplifikation
Günstige IoT‑Geräte mit schwacher Härtung bilden robuste Botnetze. In Kombination mit Reflections und Amplification über offene UDP‑Dienste (z. B. fehlerhaft konfigurierte Protokolle) steigt sowohl der bps‑ als auch der pps‑Druck. Die zustandslose Natur von UDP begünstigt diese Muster zusätzlich.
Empfehlungen zur DDoS‑Resilienz: Architektur und Betrieb
Kapazität verteilen: Anycast‑Routing und globale Scrubbing‑Center streuen Lastspitzen. Unternehmen sollten Provider wählen, die automatisches On‑Demand‑Scrubbing, enges Peering und schnelle Umroutung integrieren.
Früh erkennen, hart filtern: Automatisches Rate‑Limiting, signatur‑ und verhaltensbasierte Anomalieerkennung sowie restriktive Policy‑Sets (Protokoll/Port) reduzieren Angriffsfläche. UDP‑Dienste härten, ungenutzte Ports schließen, Antwortgrößen begrenzen. Egress‑Filter gemäß IETF BCP 38/84 helfen, Spoofing und Amplifikationsmissbrauch an der Quelle einzudämmen.
Prozesse proben: RTBH/Remotely Triggered Black Hole und Traffic‑Offload über vorab getestete BGP‑Pfade sollten in Runbooks verankert sein. Regelmäßige Stresstests, klare Eskalationsketten mit Providern und Echtzeit‑Monitoring von pps/bps sind entscheidend, um Sekunden‑Spitzen schnell zu entschärfen.
Der neue Peak von 11,5 Tbit/s bestätigt den Trend zu kurzen, extrem dichten DDoS‑Impulsen. Organisationen mit geschäftskritischen Online‑Diensten sollten ihre Bedrohungsmodelle aktualisieren, Mitigations‑Verträge und Kontaktwege mit Anbietern prüfen und Telemetrie auf pps/bps‑Anomalien schärfen. Beobachten Sie den angekündigten technischen Bericht von Cloudflare und nutzen Sie die Erkenntnisse, um Architektur, Playbooks und Provider‑Setups zeitnah zu justieren.
