Cloudflare hat die nach eigenen Angaben bislang stärkste verzeichnete DDoS-Attacke neutralisiert: Die Spitzenlast erreichte 22,2 Tbit/s bei 10,6 Milliarden Paketen pro Sekunde (pps). Obwohl der Angriff nur rund 40 Sekunden andauerte, markiert er nach einem erst kürzlich gemeldeten Höchstwert von 11,5 Tbit/s eine deutliche Eskalation der Bedrohungslage.
Rekordwerte im Kontext: 22,2 Tbit/s und 10,6 Mrd. pps verständlich erklärt
Die Kennzahlen Bitrate (Tbit/s) und Paket-Rate (pps) adressieren unterschiedliche Belastungsachsen. Hohe Bitraten sättigen die Bandbreite, während extreme pps-Werte Router, Firewalls und stateful Filter auf der Steuer- und Datenpfad-Ebene überfordern. Eine Last von 22,2 Tbit/s entspricht überschlägig der gleichzeitigen Auslieferung etwa einer Million 4K-Streams. 10,6 Mrd. pps wirken, als würde nahezu die gesamte Weltbevölkerung mehrmals pro Sekunde eine Seite neu laden – fatal für Conntrack-Tabellen und CPU-Budgets von Edge-Geräten.
Ursprung des Angriffs: Indizien für das Botnet AISURU
Cloudflare veröffentlicht zu den jüngsten Vorfällen nur begrenzte Details. Forschende von Qianxin Xlabs führten jedoch den früheren 11,5‑Tbit/s‑Angriff auf das AISURU‑Botnet zurück. Demnach umfasst AISURU über 300.000 kompromittierte IoT‑ und Netzgeräte. Ein starker Zuwachs an Botnet-Knoten soll im April 2025 erfolgt sein – mutmaßlich nach der Kompromittierung eines Update-Servers für Totolink-Router.
Technisch ausgenutzt werden laut Analysen Schwachstellen in IP‑Kameras, DVR/NVR, Komponenten auf Realtek-Basis sowie Routern mehrerer Marken, darunter T‑Mobile, Zyxel, D‑Link und Linksys. Dieses Muster ist typisch für IoT‑Botnetze: große Angriffsfläche, veraltete Firmware, schwache Passwörter und seltene Updates. Vergleichbare Entwicklungen dokumentieren regelmäßig Branchenberichte wie die Cloudflare DDoS Trends, Akamais State of the Internet sowie die ENISA Threat Landscape, die die Rolle unsicherer IoT-Geräte als Katalysator für volumetrische Angriffe hervorheben.
Warum DDoS‑Attacken kürzer, aber heftiger werden
Angreifer setzen zunehmend auf Burst‑Attacken, die in Sekundenbruchteilen volle Wirkung entfalten. Der Ansatz zielt darauf ab, automatische Gegenmaßnahmen zu unterlaufen, bevor Filterregeln, Scrubbing oder Skalierung greifen. Besonders L3/L4‑Floods (UDP/TCP) mit sehr hohen pps erschöpfen die Paketverarbeitung und Zustandstabellen, lange bevor der reine Durchsatzlimit erreicht ist. In der Praxis führt dies zu CPU‑Sättigungen an Edge‑Routern, Drops in ACL‑Pipelines und Ausfällen stateful Firewalls – selbst in großen Netzen.
Empfohlene Schutzmaßnahmen gegen volumetrische und pps‑starke DDoS
1) Anycast‑basierte Anti‑DDoS‑Scrubbing‑Dienste
Globale Scrubbing-Netze mit Anycast verteilen den Angriff geografisch, senken Latenzen und absorbieren sowohl Bitrate als auch pps‑Spitzen. Wichtig ist ein vollautomatisches Aktivierungsmodell (always‑on oder on‑demand mit niedriger Umschaltzeit) und adaptive Signaturen.
2) Zusammenarbeit mit dem Netzbetreiber
Abstimmungen zu ACL, BGP FlowSpec, RTBH/Blackhole und BGP‑Ankündigungen in Richtung Scrubbing‑Zentren verhindern die Überlastung der letzten Meile. Runbooks sollten Schwellenwerte und Eskalationspfade klar definieren.
3) IoT‑ und Perimeter‑Härtung
Firmware zeitnah aktualisieren, UPnP und nicht benötigte Dienste deaktivieren, Default‑Credentials ersetzen und IoT‑Segmente strikt isolieren. So sinkt sowohl das Risiko, Teil eines Botnetzes zu werden, als auch die Angriffsfläche.
4) Sichtbarkeit und Übungen
NetFlow/sFlow, Metriken und Logs beschleunigen die Attributierung des Angriffsvektors. Regelmäßige Game Days, Tests der Runbooks sowie definierte SLO/SLI für DDoS‑Incidents erhöhen die Reaktionsgeschwindigkeit.
5) Schutz auf Anwendungsebene
Ergänzend zu Netzmaßnahmen sind WAF, Rate Limiting, Challenge‑Response und Resourcen‑Limits sinnvoll, um L7‑HTTP‑Floods und Erschöpfungsangriffe abzuwehren.
Die Marke von 22,2 Tbit/s und 10,6 Mrd. pps unterstreicht: Angreifende skalieren durch automatisierte IoT‑Botnetze schneller als viele Verteidiger ihre Abwehr. Unternehmen sollten ihre Exponierung bewerten, Lasttests durchführen und die Time‑to‑Mitigate minimieren. Wer jetzt in Anycast‑Scrubbing, Provider‑Koordination, IoT‑Hygiene und belastbare Runbooks investiert, reduziert Ausfallzeiten und finanzielle Risiken spürbar.