Ein bislang nicht genannter europaeischer DDoS-Schutzanbieter hat eine der intensivsten Packet-per-Second-Attacken registriert: Die Spitze lag bei 1,5 Milliarden Paketen pro Sekunde (PPS). Laut FastNetMon stammte der Traffic aus einem verteilten Botnet aus Tausenden kompromittierter Endgeraete, darunter IoT-Systeme und MikroTik-Router, verteilt ueber mehr als 11.000 einzigartige Netze weltweit.
Angriffsvektor und Technik: UDP‑Flood mit Kleinstpaketen
Der Hauptvektor war ein UDP‑Flood, der die Ressourcen von Netzkomponenten durch eine Flut kleiner Pakete ausschoepfte. Anders als bei Gbit/Tbit-Metriken zielt eine hohe PPS-Last direkt auf Paketverarbeitung: Router, Firewalls und Proxys laufen in Tabellen- und Queue-Grenzen, was die Servicequalitaet degradiert, obwohl die Uplink-Bandbreite nicht vollstaendig belegt sein muss.
Warum PPS kritischer ist als reine Bitrate
Hohe PPS-Werte belasten Daten- und Kontrollpfad: Lookup-Operationen haeufern sich, CPU/ASIC werden ausgelastet und Schutzmechanismen gegen Ueberlast greifen. Ergebnis sind Ausfaelle von Inline-Inspektion und eine verringerte Wirksamkeit von QoS-Policies. Diese Dynamik ist seit Jahren aus Provider-Perspektive bekannt und deckt sich mit Branchenbeobachtungen zu volumetrischen UDP‑Mustern und paketlastigen Attacken, die gezielt die Weiterleitungs- und State-Kapazitaeten adressieren.
Mitigation in der Praxis: ACL, gezielte Filter und Trafficschnitt
Zur Abwehr wurden die kundenseitigen Scrubbing-Ressourcen und perimetrische Massnahmen kombiniert. Im Fokus standen Access Control Lists (ACL) auf Edge-Routern, praezise Filter nach Missbrauchsmerkmalen sowie das Abschneiden von Traffic aus bekannten Amplification‑Quellen. Der Ansatz begrenzte Kollateralschaeden und vermied unnötiges Blackholing legitimer Nutzer.
Netzhygiene als Grundvoraussetzung: Aufgaben fuer ISPs
Die Resilienz gegen PPS-lastige DDoS-Attacken erfordert proaktive Filterung auf Provider-Seite: Ingress/Egress-Filter gemaess BCP 38 und BCP 84 (uRPF gem. RFC 3704) sollten Standard sein. Fuer schnelle Eindammung eignen sich RTBH und BGP Flowspec. Initiativen wie MANRS unterstreichen die Bedeutung dieser Netz-Hygienemassnahmen im Tagesbetrieb.
Grossflächige Botnetze aus Consumer-Geraeten sind kein neues Phaenomen: Der Mirai-Komplex zeigte, wie schnell ungehärtete IoT- und Heimrouter zur DDoS‑Quelle werden koennen (vgl. US‑Justizministerium zu Mirai). Ohne Provider-seitige Ausgangsfilterung wachsen solche Botnetze zu global wirksamen „Paketkanonen“ heran.
Weiterer Vorfall und RDDoS-Trend
FastNetMon berichtet von einem aehnlich dimensionierten Zweitereignis (ca. 1,49 Mrd. PPS) gegen einen DDoS‑Dienstleister in Osteuropa. Indikatoren sprechen fuer das gleiche Botnet; die betroffene Organisation erhielt Erpressungsschreiben – typisch fuer RDDoS (Ransom‑DDoS). Branchenreports, u. a. von Cloudflare, beschreiben die Zunahme solcher Erpressungsmuster und IoT-gestuetzter Angriffsinfrastrukturen.
Konkrete Empfehlungen fuer Betreiber, Schutzanbieter und Unternehmen
Netzbetreiber/ISPs: BCP 38/84 flaechen-deckend aktivieren, uRPF im Edge durchsetzen, RTBH/Flowspec zur Orchestrierung einsetzen, CPU-schonende ACLs mit fruem Drop und Ingress-Policing nutzen, Indikatorenaustausch via CSIRT/ISAC automatisieren.
DDoS‑Provider: Kapazitaetsprofile auf hohe PPS optimieren, Zustandstabellen und Hashing-Strategien haerten, Zero‑Copy/DPDK und dedizierte Inspektionsknoten einsetzen, regelmaessige Stresstests mit realistischen UDP‑Flood‑Mustern fahren.
Unternehmen: Router- und IoT‑Firmware (inkl. MikroTik) regelmaessig aktualisieren, unnoetige UDP‑Dienste und UPnP deaktivieren, Rate‑Limit und Allowlists fuer exponierte Dienste konfigurieren, Cloud‑Scrubbing integrieren und Eskalations‑Runbooks ueben.
Die Marke von 1,5 Mrd. PPS verdeutlicht den Schwenk hin zu Paketverarbeitungs‑Erschoepfung und stark verteilter Quelllandschaft. Wer jetzt Provider-seitige Ausgangsfilterung, schnelle Isolationsmechanismen und PPS-orientierte Abwehrprozeduren etabliert, reduziert das Schadpotenzial künftiger Botnetze signifikant. Betroffene Akteure sollten ihre DDoS-Readiness pruefen, mit Carriern und Schutzanbietern eng kooperieren und Abwehrketten regelmaessig unter Last testen.
