Inhalt
Normalerweise laufen volumetrische DDoS-Angriffe nach einem klaren Muster ab: Ein kurzer Anlauf, dann ein plötzlicher Peak, oft binnen weniger Sekunden. Das Ziel wird mit maximaler Wucht überlastet, bis die Angreifer ihre Ressourcen ausgeschöpft haben oder ein Mitigation-System greift. Doch bei dem hier beobachteten Vorfall spielte sich ein anderes Szenario ab.
Über mehrere Stunden hinweg griff ein Akteur gleich drei Endpunkte an, zwei davon im selben Subnetz und ein dritter in einer anderen Infrastruktur. Die Angriffe folgten keinem simplen „Feuer frei“-Schema, sondern kamen in Wellen: kurze, teilweise unscheinbare Spitzen, längere Phasen relativer Ruhe und dann ein erneutes, noch stärkeres Aufdrehen. Besonders auffällig war der lange Atem des Angreifers. Während viele Kampagnen nach wenigen Minuten verpuffen, zog sich dieser Angriff von vormittags bis in den späten Nachmittag hinein.
Kernmerkmale des Vorfalls
Die Analyse zeigt mehrere auffällige Eckdaten: Die Dauer lag bei rund fünf bis sechs Stunden kontinuierlicher Aktivität. Die Angriffe richteten sich synchron gegen drei Endpunkte. Die Taktik war klar adaptiv: Zunächst wurden kleine Testwellen ausgesandt, dann erfolgte ein sukzessives Hochskalieren der Last. Protokollseitig dominierten UDP-Floods, flankiert durch TCP/HTTPS über Port 443. Die Spitzen lagen dabei im Bereich von zig bis hin zu mehreren hundert Gigabit pro Sekunde. Dieses Vorgehen deutet auf einen ressourcenstarken, adaptiven Angreifer hin, der wahrscheinlich über ein Botnetz mit automatischer Skalierung gesteuert wird.
Dynamik der Angriffswellen
Während die erste Angriffswelle mit Spitzen von rund vier Gigabit pro Sekunde noch harmlos wirkte, eskalierte die Lage nach und nach. In den folgenden Stunden wurden die Wellen größer und unberechenbarer – und für viele Systeme durchaus gefährlich. Mehrfach traten Peaks zwischen 20 und 70 Gigabit pro Sekunde auf, vereinzelt auch deutlich darüber hinaus. Am Ende der Attacke, nach Stunden scheinbarer Routine, wurden nochmals Spitzen im Bereich von mehreren hundert Gigabit bis hin zu einem Terabit verzeichnet.
Anders als bei üblichen Ramp-up-Mustern mit stetigem Anstieg und anschließender Dauerlast ließ der Angreifer die Ziele immer wieder „durchschnaufen“, nur um dann unvermittelt zurückzukehren. Diese Pausen wirkten fast wie Tests: Zunächst wurde geprüft, wie viel Widerstand vorhanden war, dann wurde die Schlagzahl erhöht.
Technische Auffälligkeiten im Detail
Bei der Abwehr von DDoS-Angriffen kommt es nicht nur auf das Volumen, sondern auch auf die Muster im Detail an. Besonders auffällig waren:
- Paketzahlen: Die Zahl der Pakete pro Sekunde war hoch. Selbst bei überschaubarer Bandbreite könnten Firewalls und Router unter dieser Last zusammenbrechen.
- Protokollmix: Ein Großteil des Traffics bestand aus klassischen UDP-Floods. Parallel dazu tauchten TCP-Ströme über Port 443 auf, was auf missbrauchte Proxies oder kompromittierte Webserver hindeutet.
- Paketgrößen: Die Verteilung war ungewöhnlich gemischt. Statt ausschließlich kleiner Fragmente tauchten unterschiedlich große Pakete auf. Dies lässt auf verschiedene Angriffs-Tools oder Botnet-Komponenten schließen.
Herkunft und eingesetzte Infrastruktur
Die Quellen des Angriffs waren breit gestreut. Ein Großteil des Traffics stammte aus China und Indien. Daneben tauchten auch Adressen aus Europa auf, darunter bekannte Carrier und Cloud-Anbieter. Auffällig war, dass vergleichsweise wenige IP-Adressen große Datenmengen lieferten. Dies deutet darauf hin, dass neben schwachen IoT-Geräten auch leistungsstarke Server oder kompromittierte virtuelle Maschinen beteiligt waren. Solche „schlagkräftigen Bots” können mehrere zehn Gigabit pro Sekunde erzeugen und überfordern damit klassische Schutzmechanismen schnell.
Lehren für Unternehmen
Der Angriff zeigt, dass DDoS-Akteure nicht nur auf rohe Gewalt setzen, sondern ihre Methoden variieren und über lange Zeiträume hinweg testen. Für Unternehmen bedeutet das, dass ihre Abwehrmechanismen flexibel bleiben müssen. Noch wichtiger ist die Erkenntnis, dass die Verteidigung gegen volumetrische DDoS-Angriffe kein Sprint, sondern ein Marathon ist. Der Vorfall macht deutlich: Resilienz im Netz entsteht nicht durch starre Mauern, sondern durch Lernfähigkeit und kontinuierliche Anpassung – ähnlich wie auf Seiten der Angreifer.
Möchten Sie wissen, wie gut Ihr Unternehmen auf solche Angriffe vorbereitet ist? Dann sprechen Sie uns an! Wir unterstützen Sie bei der Analyse sowie der Entwicklung passgenauer Abwehrstrategien und einer praxisnahen Planung.
Share this post
