Cloudflare hat nach eigenen Angaben die bisher leistungsstaerkste bekannte DDoS-Attacke neutralisiert: Der Traffic erreichte einen Spitzenwert von 11,5 Tbit/s und bis zu 5,1 Milliarden Paketen pro Sekunde (pps). Der Vorfall dauerte etwa 35 Sekunden und folgte dem Muster kurzlebiger, extrem intensiver Kampagnen, die Bandbreite und Paketverarbeitung auf Netzwerkebene gezielt ueberlasten.
Technische Einordnung: warum Tbps und pps beide zaehlen
Die Attacke wurde als UDP‑Flood gefahren. UDP ist verbindungslos; Angreifer koennen massenhaft Pakete senden, ohne Handshakes oder Zustandsverwaltung, und so Router, Firewalls und L4‑Load‑Balancer beanspruchen. Die Metrik in Tbit/s misst die reine Bandbreite und bedroht Uplinks und Transitstrecken. pps beschreibt die Paket-Intensitaet – kritisch fuer die Weiterleitungs- und Filterleistung von Netzwerkgeraeten, die bei hohen pps Werten CPU/ASIC‑Ressourcen, Tabellen und Queues ausschoepfen. In diesem Fall waren beide Werte simultan an der Belastungsgrenze, was die Abwehr zusaetzlich erschwert.
Angriffsquellen: Cloud-Instanzen und IoT-Botnetze
Laut Cloudflare stammte der Traffic aus Netzen mehrerer Cloud‑Provider und IoT‑Anbieter, darunter auch Google Cloud. Diese Mischform hat sich etabliert: kompromittierte IoT‑Geraete liefern breite Verteilung und Volumen, waehrend missbrauchte Cloud‑Instanzen kurzfristig sehr hohe Durchsaetze ermoeglichen und die Vorbereitungszeit fuer Angriffe minimieren. Aehnliche Beobachtungen finden sich regelmaessig in DDoS‑Lagebildern (u. a. Cloudflare Radar, ENISA Threat Landscape, Netscout‑Analysen).
Hit‑and‑Run: kurze Spitzen mit maximaler Wirkung
Die Dauer von etwa 35 Sekunden passt zur hit‑and‑run‑Taktik: blitzartige Spitzen sollen Erkennungs- und Umschaltzeiten ausnutzen. Ohne global verteilte Anycast‑Mitigation und automatisches Scrubbing erreichen solche Burst‑Angriffe schnell kritische Schwellenwerte, pruefen SLA‑Grenzen und zwingen Schutzsysteme in kostspielige Failover‑Szenarien.
Trends im DDoS‑Umfeld: wachsende Spitzen, kuerzere Abstaende
Der neue Peak uebertrifft vorangegangene Rekorde deutlich: Im Juni 2025 meldete Cloudflare die Abwehr von 7,3 Tbit/s, im Januar 2025 lagen die Spitzen bei 5,6 Tbit/s. Das Muster zeigt eine Beschleunigung: kuerzere Intervalle zwischen Rekorden und hoehere Amplituden. In wenigen Dutzend Sekunden koennen so zweistellige Terabyte‑Mengen bewegt werden – ein Indikator fuer die Skalierfaehigkeit moderner Botnetze und die systematische Ausnutzung von Cloud‑Ressourcen.
Mitigation in der Praxis: Architektur, Prozesse, Telemetrie
Wirksame Abwehr gegen UDP‑Floods kombiniert mehrere Schichten: 1) globales Anycast mit verteilten Scrubbing‑Centern, 2) automatisierte, adaptiv lernende Filter und Rate‑Limits auf L3/L4, 3) engmaschige Telemetrie mit Schwellen fuer pps und Tbit/s, die kurzzeitige Bursts erfassen. Cloudflare betont, dass hunderte hypervolumetrische Events regelmaessig mitigiert werden – automatische Playbooks und niedrige Time‑to‑Mitigate sind entscheidend.
Auf Betreiberseite sollten folgende Punkte umgesetzt werden: 1) BGP‑Failover zu Scrubbing‑Centern vorab einueben, Blackhole/RTBH und Flowspec vorbereiten; 2) BCP 38 (RFC 2827) und uRPF (RFC 3704) gegen IP‑Spoofing durchsetzen; 3) nicht benoetigte UDP‑Dienste standardmaessig blockieren oder streng filtern (port‑/protokollbasierte ACLs); 4) Bandbreiten‑Reserven und Mitigation‑SLA vertraglich absichern; 5) Telemetrie und Alarmierung auf Burst‑Szenarien von 10–60 Sekunden ausrichten.
Fuer Hochverfuegbarkeit empfiehlt sich die Isolierung kritischer Workloads hinter Proxys mit Anycast‑Reichweite, Segmentierung ueber mehrere Zonen und regelmaessige Belastungstests (DDoS‑Drills/Chaos‑Engineering), die Detection‑Zeit, Routing‑Umschaltung und Runbooks realistisch pruefen. Cloud‑ und IoT‑Nutzer sollten Accounts, API‑Schluessel und Berechtigungen auditsicher verwalten und Egress‑Filter aktivieren, damit eigene Ressourcen nicht als Angriffsquelle missbraucht werden.
Hypervolumetrische DDoS‑Angriffe verengen das Reaktionsfenster auf Sekunden. Organisationen sollten jetzt Playbooks aktualisieren, Routen zu Scrubbing‑Centern sicherstellen und pps/Tbit‑Metriken prominent ueberwachen. Wer Fruehwarnungen, Filtering und Traffic‑Umlenkung automatisiert, erhoeht
