Blog / Bedrohungslage / Gezielte DDoS-Serie: Wenn kurze Angriffe große Wirkung entfalten

Gezielte DDoS-Serie: Wenn kurze Angriffe große Wirkung entfalten

  • Lisa Fröhlich
  • Juli 23, 2025

Inhalt

Gezielte DDoS-Serie: Wenn kurze Angriffe große Wirkung entfalten

Innerhalb weniger Tage registrierte Link11 eine Serie von DDoS-Angriffen, die nicht durch ihre Dauer oder Lautstärke, sondern durch ihre Präzision auffielen. Ein Unternehmen aus der digitalen Entertainmentbranche wurde gezielt neunmal attackiert. Anstelle einer stundenlangen Dauerbelastung setzten die Angreifer auf eine „Hit-and-Run“-Taktik: Kurze Datenexplosionen von bis zu 1 Tbit/s, jeweils nur fünf bis zehn Minuten lang, verteilt über sechs Tage. 

Bemerkenswert war dabei nicht nur das Angriffspotenzial, sondern auch die Durchführung: Die Angriffe waren gezielt, kurz und effizient. Die begrenzte Dauer erschwerte die Analyse, ließ aber die Strategie erkennen. 

Drei zentrale Merkmale: 

Kurz, aber heftig:
Jeder Angriff dauerte nur wenige Minuten, erzeugte dabei aber enorme Datenströme im hohen Gigabit- bis Terabit-Bereich. Insgesamt summierte sich das übertragene Datenvolumen auf mehrere hundert Terabyte. Die Spitzenlast von bis zu 1 Tbit/s entsprach klassischen Rekordangriffen, war jedoch auf ein extrem kleines Zeitfenster verdichtet.

Wiederholung und Staffelung:
Anstatt eines anhaltenden Dauerbeschusses verteilten sich die DDoS-Attacken über mehrere Tage, teils mehrmals täglich, jedoch zu wechselnden Uhrzeiten. Besonders auffällig war der schnelle Aufbau: Innerhalb von Sekunden stieg der Traffic von null auf mehrere hundert Gbit/s („Fast Ramping“). Diese Taktik ließ den Abwehrsystemen kaum Reaktionszeit und sorgte bei minimaler Angriffsfläche für maximale Disruption. 

Technisch variabel, strategisch kontrolliert:
Was auf den ersten Blick wie klassische Volumenangriffe wirkte, entpuppte sich bei näherer Analyse als komplexes Taktikmuster:

  • Zunächst wurden UDP-Floods auf Port 443 genutzt, um verschlüsselte Webkommunikation (QUIC/HTTPS) gezielt zu stören.
  • Darauf folgten Bursts mit zusätzlichen TCP-80-Angriffen bei weiterhin hoher Bandbreite.
  • Später änderte sich das Muster: TCP 443 und TCP 80 wurden mit variabler Paketgröße geflutet, jedoch bei geringerer Bandbreite (~200 Gbit/s) und komplexerem Verhalten. 
  • Anschließend wurde UDP 123 (NTP) eingesetzt, ein selteneres Protokoll, das häufig in reflektierten Angriffen genutzt wird. Die Ports wirkten zufällig, die Pakete waren klein und das Volumen lag bei 40 Gbit/s. 
  • Schließlich kehrten die Angreifer zum ursprünglichen Muster zurück: UDP 443 und TCP 443 mit großen Paketen, hoher Last und breiter IP- und Port-Streuung. 

Die Paketanalysen zeigten einen klaren Wandel: Zu Beginn dominierten große, gleichförmige Pakete, was typisch für reflektierende Angriffe ist. Später wurden die Muster variabler, vermutlich um klassische Signaturerkennung zu umgehen. 

Auch die Quell-IP-Adressen und ASNs waren breit gestreut. In Kombination mit der Einspeisung über alle großen Link11-Nodes spricht vieles für IP-Spoofing oder den Einsatz eines weltweit verteilten Botnetzes mit gezielter Lastverteilung. 

Verteilt und schwer zurückzuverfolgen

Die Angriffe kamen aus zahlreichen Entry Points mit stark variierenden Quell-ASNs und vermeintlich geografisch verteilten IP-Adressen – viele davon waren wahrscheinlich gefälscht oder wurden über kompromittierte Systeme generiert. Die Muster deuten auf gezielte Unterbrechungen von HTTPS-Diensten hin, was ein weiteres Indiz dafür ist, dass der Angreifer fundierte Kenntnisse über die Zielinfrastruktur besaß. 

Die Strategie legt nahe: 

  • Der Angreifer wusste, welche Dienste auf den Zielsystemen laufen. 
  • Zeitfenster und Protokollwahl waren auf maximale Wirkung bei minimalem Aufwand ausgerichtet. 
  • Das Botnet war global verteilt, vermutlich um Schwachstellen in einzelnen Netzen auszunutzen oder gezielt Knotenpunkte zu überlasten. 

Motivlage: Wettbewerb statt Politik?

Auffällig ist, dass das angegriffene Unternehmen aus der digitalen Entertainmentbranche stammt – einem Umfeld, in dem DDoS-Attacken häufig aus wirtschaftlichen Motiven heraus begangen werden. Dabei sollen Dienste gezielt gestört, Nutzer verärgert und Marktanteile untergraben werden. Hinweise auf gezielte Angriffe zu Stoßzeiten sprechen für einen wettbewerbsgetriebenen Hintergrund. 

Weitere Erkenntnisse: 

Neben der unmittelbaren Angriffswucht lieferte die Serie strategische Einblicke.

  • Botnet-Vorbereitung: In den Tagen vor den Hauptangriffen wurden kleinere Anfragemuster festgestellt, die vermutlich der Aufklärung oder als Testläufe dienten. 
  • Adaptive Taktik: Zwischen den Angriffen änderten sich Quellverhalten und Protokollwahl, was darauf hindeutet, dass der Angreifer auf Gegenmaßnahmen reagierte und Signaturen aktiv umging. 
  • Hohe Effizienz: Die Kombination aus kurzer Dauer und hoher Last spricht für ein gutes Kosten-Nutzen-Verhältnis auf Angreiferseite. Der Einsatz frei verfügbarer Infrastruktur, wie Open Proxies oder günstiger Botnet-Ressourcen, senkt die Einstiegshürden zusätzlich. 
Präzise Erkennung & blitzschnelle Mitigation

Erfahren Sie mehr über eine DSGVO-konforme, cloud-basierte und patentierte DDoS Protection, die hält, was sie verspricht.

Jetzt schützen

Was bedeutet das für die Verteidigung?

Diese Art von Angriffen ist schwer zu erkennen und noch schwerer zu stoppen. Ihre Kürze erschwert die forensische Auswertung und ihre Variabilität stellt eine Herausforderung für automatisierte Systeme dar. Und dennoch ist die Methode effektiv. 

Abwehrsysteme müssen darauf ausgerichtet sein. 

  • dynamische Erkennung, die nicht nur die Bandbreite, sondern auch Paketmuster und das Zeitverhalten analysiert. 
  • Verhaltensanalysen auf Netzwerk- und Anwendungsebene, um ungewöhnliche Nutzungsmuster zu identifizieren. 
  • Redundante Systeme, geografisch und systemisch verteilt 
  • Vorbereitung auf spezifische Angriffstypen (z. B. UDP-443-Floods, TCP-Reflexionen), inklusive durchdachter Incident-Response-Playbooks. 

Fazit: Präzision als neue Bedrohungsdimension

Diese Angriffsserie zeigt exemplarisch, dass moderne DDoS-Akteure nicht mehr auf rohe Gewalt setzen müssen. Taktische Intelligenz, Zeitsteuerung, Infrastrukturkenntnisse und adaptive Muster genügen, um digitale Dienste gezielt zu stören – selbst mit begrenzten Ressourcen. 

Der Schutz vor solchen Angriffen erfordert daher mehr als nur Bandbreitenkapazität: Benötigt werden automatisierte Echtzeitanalysen, ein tiefgreifendes Verständnis des Datenverkehrs und eine adaptive Abwehrlogik, die Muster erkennt, bevor diese zu Unterbrechungen führen. 

Sie möchten wissen, wie Ihr Unternehmen gegen taktisch ausgeklügelte DDoS-Angriffe gewappnet ist? Unsere Expert:innen unterstützen Sie bei der Analyse, Planung und Umsetzung wirkungsvoller Schutzmechanismen. 

Jetzt kontaktieren >>

Bürokratie und Innovation: Deutschlands Weg zur digitalen Zukunft
Valentinstag: DDoS-Angreifer bedrohen Online-Handel
X