Der bisher größte DDOS-Angriff aller Zeiten wird offengelegt: das Gegenstück zu über 9.000 HD-Filmen in 45 Sekunden

Cloudflare berichtet vom größten DDoS-Angriff aller Zeiten – satte 37,4 TByte wurden innerhalb von 45 Sekunden auf ein Angriffsziel geschleudert. (© Cloudflare)

Der Begriff Cloudflare dürfte den meisten von euch schon einmal untergekommen sein: Das US-amerikanische Unternehmen hat sich auf die Abwehr von DDoS-Angriffen (Distributed Denial of Service) spezialisiert; ist der Dienst aktiv, kann es bei manchen Webseiten vorkommen, dass ihr gewissermaßen auf eure Vertrauenswürdigkeit geprüft werdet.

Wie das Unternehmen nun in einem Blogeintrag preisgibt, hat Cloudflare vor rund einem Monat eine solche DDoS-Attacke erfolgreich abgewehrt – es handelt sich um den größten je dokumentierten DDoS-Angriff aller Zeiten.

Der Rekord-Angriff im Detail

Dieser bisher DDoS-Angriff fand laut Cloudflare Mitte Mai 2025 statt und erreichte eine Spitzenleistung von 7,3 Terabit pro Sekunde; damit wurde der vorherige Rekord um zwölf Prozent übertroffen.

• Innerhalb von nur 45 Sekunden wurden 37,4 Terabyte an bösartigem Datenverkehr auf einen Hosting-Anbieter gerichtet.
• Diese Datenmenge entspricht nicht nur über 9.350 HD-Filmen, sondern auch 7.480 Stunden hochauflösendem Video-Streaming oder etwa 9,35 Millionen Musikstücken. Die Vergleichswerte hat übrigens Cloudflare selbst gewählt – wie viele Fußballfelder das sind, wissen wir nicht.

Das Ziel des Angriffs war ein Hosting-Provider, der Cloudflares »Magic Transit«-Service zur Verteidigung seines IP-Netzwerks nutzte. Diese Wahl ist dem Unternehmen zufolge nicht zufällig erfolgt: Hosting-Anbieter und kritische Internetinfrastrukturen werden zunehmend zu bevorzugten Zielen von DDoS-Attacken, da sie als Multiplikatoren für Störungen fungieren können.

Ein »Flächenbombardement« als Angriffsvektor

Bei dem Angriff handelte es sich um eine sogenannte »Carpet Bombing«-Attacke, die durchschnittlich 21.925 Zielports pro Sekunde überzog und hierbei Spitzenwerte von bis zu 34.517 Ports pro Sekunde erreichte. Diese Technik zielt simpel darauf ab, Firewall- und Angriffserkennungssysteme durch die Streuung des Datenverkehrs zu überlasten.

Der Angriff war multivektoriell ausgelegt: 99,996 Prozent des Datenverkehrs bestanden aus UDP-Floods, während die verbleibenden 0,004 Prozent sich auf verschiedene Reflexions- und Amplifikationsangriffe verteilten.

Globale Verteilung zeigt auffälliges Muster

Die Attacke stammte von mehr als 122.145 Quell-IP-Adressen aus 5.433 autonomen Systemen in 161 Ländern.

• Besonders die geografische Konzentration fällt auf: Fast die Hälfte des Angriffsverkehrs kam aus Brasilien und Vietnam, die jeweils etwa 25 Prozent des Gesamtvolumens ausmachten.
• Weitere bedeutende Quellen waren Taiwan und China mit je acht Prozent, gefolgt von Indonesien mit sechs Prozent.

Die Verteilung zeigt für Cloudflare ein klares Muster: Die größten Anteile stammen aus Regionen mit hoher Internetdurchdringung, aber möglicherweise unzureichend geschützten IoT-Geräten und -Servern.

»Rapid Resets«

Google, Amazon und Microsoft betroffen: Das steckt hinter den größten DDoS-Attacken aller Zeiten

von Jusuf Hatic

Anycast zum Abfedern, eBPF für Echtzeitfilter

Cloudflare erklärt in der zugehörigen Mitteilung auch mit einer gehörigen Portion Stolz, wie der Angriff blockiert wurde. Genutzt wurde das globale »Anycast«-Netzwerk, um den Angriff auf 477 Rechenzentren in 293 Standorten weltweit zu verteilen.

Diese Verteilung nutzt die Natur von DDoS-Angriffen gewissermaßen gegen sie selbst. Das Herzstück der Verteidigung bildet ein autonomes Erkennungs- und Abwehrsystem, das auf eBPF-Technologie (extended Berkeley Packet Filter) basiert.

• Dieses System analysiert Paketproben direkt aus dem Linux-Kernel und identifiziert verdächtige Muster mithilfe einer proprietären Heuristik-Engine namens »dosd«.
• Sobald Angriffsmuster erkannt werden, kompiliert das System automatisch Filterregeln als eBPF-Programme, die schädliche Pakete in Echtzeit blockieren.