Die Cloud-Plattform Microsoft Azure ist Ziel eines der leistungsstärksten bekannten DDoS-Angriffe der letzten Jahre geworden. Der Angriff erreichte eine Spitzenlast von 15,72 Tbit/s und rund 3,64 Milliarden Paketen pro Sekunde, ausgelöst von etwa 500.000 eindeutigen IP-Adressen. Hinter der Attacke stand das IoT-Botnet Aisuru aus der Turbo-Mirai-Familie, das massiv verwundbare vernetzte Geräte missbraucht.
Rekord-DDoS gegen Microsoft Azure: Dimension und Technik
Laut Microsoft richtete sich der Angriff als konzentrierter UDP-Flood gegen eine einzelne öffentliche IP-Adresse eines Azure-Kunden in Australien. UDP-Floods überfluten den Zielhost mit kurzen, verbindungslosen Datenpaketen, bis Netzwerkbandbreite, Firewalls oder Serverressourcen überlastet sind und legitime Anfragen nicht mehr verarbeitet werden können.
Die gemessene Last von 3,64 Mrd. Paketen pro Sekunde (pps) liegt deutlich über dem Niveau vieler bisheriger Großangriffe. Zum Vergleich: Frühe Mirai-Attacken im Jahr 2016 lagen im Bereich von etwa 1 Tbit/s – Aisuru bewegt sich damit in einer neuen Größenordnung, in der selbst große Cloud-Infrastrukturen ohne spezialisierte DDoS-Abwehr an ihre Grenzen kommen können.
Besonders bemerkenswert: Die Angreifer verzichteten weitgehend auf IP-Spoofing, also die Fälschung von Quelladressen. Stattdessen stammte der Traffic von realen, kompromittierten Endgeräten und wurde auf zufällige Ports des Ziels verteilt. Diese Taktik erschwert einfache statische Filterregeln, da kein klarer Zielport als Signatur dient. Gleichzeitig erleichtert sie Providern die Rückverfolgung der Angriffsströme und das gezielte Blockieren kompromittierter Netze.
IoT-Botnet Aisuru: Turbo-Mirai-Nachfolger mit globaler Schlagkraft
Aisuru wird von Forschenden als IoT-Botnet der Turbo-Mirai-Klasse eingestuft. Es besteht überwiegend aus gehackten Heimroutern, IP-Kameras, DVR/NVR-Systemen und weiterer IoT-Hardware, die häufig mit veralteter Firmware, Standardpasswörtern oder öffentlich bekannten Schwachstellen betrieben wird.
Analysen zeigen, dass Aisuru ein Bündel dokumentierter Sicherheitslücken in Geräten mehrerer Hersteller missbraucht, unter anderem Totolink, T-Mobile, Zyxel, D-Link, Linksys, diverse IP-Kameras sowie Lösungen auf Basis von Realtek-Chipsätzen. Einen deutlichen Wachstumsschub erfuhr das Botnet durch die Kompromittierung eines Update-Servers von Totolink-Routern, über den schadhafte Firmware auf zahlreiche Geräte verteilt wurde.
In früheren Untersuchungen schätzten Expertenteams die Größe des Botnetzes bereits auf über 300.000 infizierte IoT-Geräte weltweit. Die Mehrzahl der Bots befindet sich demnach in Netzen großer Internetprovider in den USA und anderen Ländern – ein Hinweis darauf, wie sehr unsichere Heim- und Small-Office-Infrastruktur zur globalen Angriffsfläche beiträgt.
Weitere Rekorde: Angriffe auf Cloudflare und andere Ziele
Der Angriff auf Microsoft Azure ist nicht der erste Rekord von Aisuru. Bereits im September 2025 meldete Cloudflare die Abwehr einer Attacke desselben Botnetzes mit einer Spitzenbandbreite von 22,2 Tbit/s und bis zu 10,6 Mrd. Paketen pro Sekunde. Der Hochlastzeitraum dauerte zwar nur rund 40 Sekunden, hätte aber ungeschützte Dienste problemlos offline nehmen können.
Zuvor hatte das Forschungsteam Qianxin Xlab eine weitere Aisuru-Kampagne mit einer Last von etwa 11,5 Tbit/s dokumentiert. Zusammengenommen verdeutlichen diese Ereignisse, dass moderne IoT-Botnetze das Leistungsniveau klassischer DDoS-Angriffe um ein Vielfaches übertreffen und heutige Abwehrstrategien kontinuierlich angepasst werden müssen.
Manipulation von Cloudflare-Rankings durch DNS-Missbrauch
Aisuru wird nicht nur für Überlastungsangriffe eingesetzt. Betreiber des Botnetzes versuchten zudem, die DNS-Statistiken von Cloudflare und damit den öffentlichen Index Cloudflare Top Domains zu manipulieren. Diese Rangliste basiert maßgeblich auf der Anzahl von DNS-Anfragen zu einzelnen Domains.
Indem kompromittierte Geräte massenhaft DNS-Requests über den öffentlichen Resolver 1.1.1.1 erzeugten, konnten Angreifer ihre eigenen Domains künstlich nach oben treiben – teils vor Webseiten von Anbietern wie Amazon, Microsoft oder Google. Damit wurde eine Metrik, die eigentlich die Popularität von Websites widerspiegeln soll, in einen Indikator für botnetgetriebenen Missbrauch verzerrt.
Cloudflare bestätigte, dass Aisuru die Rangfolge der Domains signifikant verfälschte. In der Folge führte das Unternehmen zusätzliche Filtermechanismen ein: auffällige Domains werden nun redaktionell angepasst oder vollständig aus den öffentlichen Listen entfernt, um automatisierten, bösartigen Traffic herauszurechnen.
Lehren für DDoS-Schutz und IoT-Sicherheit
Konsequenzen für Unternehmen, Provider und Cloud-Anbieter
Die Angriffe zeigen, dass DDoS-Schutz heute sowohl ausreichend Bandbreite als auch intelligente Filter- und Analysemechanismen erfordert. Anbieter kritischer Online-Dienste sollten auf mehrschichtige Abwehrstrategien setzen: globale Anycast-Netze, Traffic-Scrubbing, automatisierte Erkennung von Anomalien und enge Zusammenarbeit mit spezialisierten Anti-DDoS-Plattformen.
Internetprovider spielen eine Schlüsselrolle, indem sie eingehende und ausgehende Anomalien frühzeitig erkennen und filtern. Maßnahmen wie das Umsetzen von Best Current Practices (z. B. BCP 38 zur Filterung gefälschter Quelladressen) können die Verfügbarkeit von Botnet-Traffic spürbar reduzieren, auch wenn Aisuru bereits zeigt, dass Angreifer zunehmend mit unverfälschtem Traffic arbeiten.
Was Organisationen und Privatnutzer konkret tun sollten
Unternehmen und Privatanwender können die Angriffsfläche erheblich verringern, wenn sie grundlegende IoT-Sicherheitsmaßnahmen umsetzen. Dazu gehören regelmäßige Firmware-Updates von Routern und IP-Kameras, das Deaktivieren unnötiger Remote-Zugänge, das konsequente Ändern von Standardpasswörtern sowie die Segmentierung des Heim- oder Firmennetzes, um smarte Geräte vom produktiven Netzwerk zu trennen.
Abschließend macht Aisuru deutlich, dass massenhafter IoT-Kompromiss nicht nur einzelne Dienste bedroht, sondern auch das Vertrauen in zentrale Internetdienste und Ranking-Systeme untergräbt. Wer heute auf Cloud-Infrastruktur und vernetzte Geräte setzt, sollte DDoS-Resilienz und IoT-Hygiene als integralen Bestandteil seiner Sicherheitsstrategie verstehen – und nicht erst handeln, wenn das eigene Netzwerk Teil des nächsten Rekordangriffs geworden ist.
