DDoS im April

Fastlys exklusiver monatlicher DDoS-Wetterbericht für April 2025 stellt eine signifikante Rate von Angriff Traffic fest, die aus den Vereinigten Staaten stammt.

Das sofortige globale Netzwerk von Fastly hat Billionen von versuchten DDoS-Angriffen auf den Layern 3 und 4 gestoppt. Allerdings sind raffinierte neue Layer-7-Angriffe schwerer zu erkennen und potenziell weitaus gefährlicher. Diese erhebliche Bedrohung für die Performance und Verfügbarkeit jeder internetbasierten App oder API setzt Nutzer und Organisationen einem Risiko aus. Fastly nutzt die Telemetrie unseres globalen Edge-Netzwerks mit 427 Terabit pro Sekunde¹, das 1,8 Billionen Anfragen pro Tag² bedient, und Fastly DDoS Protection, um einzigartige Einblicke in das globale DDoS-„Wetter“ für Anwendungen zu liefern – der einzige monatliche Bericht dieser Art. Nutzen Sie anonymisierte Daten, Erkenntnisse und umsetzbare Ratschläge zu den neuesten DDoS-Trends bei Apps, um Ihre Sicherheitsinitiativen zu stärken.

Der Einfluss von Produktverbesserungen in Berichten

Fastly bekämpft seit über einem Jahrzehnt massive DDoS-Angriffe und nutzt seine Plattform und andere Lösungen, um diese Bedrohungen einzudämmen. Wir haben jedoch im Oktober 2024 DDoS-Schutz eingeführt, um unseren Kunden eine adaptive und automatische Abwehr zu bieten. Seitdem haben wir weiter hart daran gearbeitet, DDoS-Schutz zur besten Lösung für App-DDoS auf dem Markt zu machen. Wir haben schon ausführlich darüber gesprochen, wie gut die adaptive Attribute Unmasking-Engine der Lösung Angriffe abwehrt. Wir haben aber auch viel daran gesetzt, die Basis zu verbessern, und arbeiten weiterhin daran, die Erkennung zu optimieren.  

Unsere Verbesserungen haben die Erkennungszeit weiter verkürzt und gleichzeitig die Transparenz der Lösung in Bezug auf DDoS-Angriffe erhöht (insbesondere kürzere, kleinere Angriffe). Wir verbessern kontinuierlich unsere Kernfunktionen zur Erkennung und Abwehr, und sie spielen wahrscheinlich eine Rolle dabei, warum wir im April einen so stetigen Anstieg des Angriffsvolumens verzeichneten. Wir erwarten, dass sich der Einfluss solcher Verbesserungen in unseren Berichten zeigt, da wir das Produkt kontinuierlich verfeinern, um es für Kunden wie Sie noch besser zu machen. Nach dieser Vorbemerkung kommen wir nun zu den Ergebnissen.

Wichtigste Erkenntnisse

1. Eine einzelne IP-Adresse wurde mit Abwehrregeln für 456 einzigartige Kunden verknüpft.

2. 71 % der automatisch generierten Regeln isolieren den Traffic in die Vereinigten Staaten

3. Das Angriffsvolumen im April war um 5 % höher als im Januar, Februar und März zusammen.

DDoS-Traffic-Trends

Während wir in den vergangenen Monaten an einzelnen Tagen deutliche Spitzen im Angriffsvolumen beobachteten, hielten sich die Angriffe im April nicht an diesen Trend. Ein Großteil des Monats liegt nahe an der Linie des durchschnittlichen Angriffsvolumens pro Tag, was darauf hindeutet, dass es nur wenige Ausreißer gab, die den Durchschnitt verzerrten (Abbildung 1).

Obwohl die Spitzen weniger drastisch ausfielen, war das Gesamtvolumen der als Teil eines DDoS-Angriffs identifizierten Anforderungen im April weitaus höher als in jedem anderen Monat seit Beginn unseres Reporting (Abbildung 2).  Der Anstieg des Volumens von März bis April entspricht einem Anstieg von 87 % gegenüber dem Vormonat, und allein im April war das DDoS-Angriffsvolumen um 5 % höher als im gesamten ersten Quartal zusammen!

Die Beobachtung von Angriffen durch die Linse der angegriffenen Branche verdeutlicht, wie drastisch sich die Daten verschieben, wenn man das Angriffsvolumen im Vergleich zur Gesamtzahl der Angriffe betrachtet (Abbildung 3).

Während der Bereich Handel die meisten Angriffe verzeichnete, erhielt der Bereich Medien und Unterhaltung das größte Angriffsvolumen. 

Bei genauerer Betrachtung der Angriffe auf die Medien- und Unterhaltungsbranche stellte sich heraus, dass sich der Großteil dieser Angriffe gegen Organisationen auf Enterprise-Ebene im Bereich Medien und Unterhaltung richtete. Dies fügt eine zusätzliche Bestätigung zu einer impliziten Realität hinzu, die in früheren Berichten beobachtet wurde; Angreifer verstehen, wen sie angreifen, und starten größere Angriffe gegen größere Organisationen.

Einblicke in DDoS-Angriffe

Am 8. April haben wir ein großes Update für den DDoS-Schutz von Fastly veröffentlicht. Damit kommen zwei wichtige Merkmale: Veranstaltungen und Veranstaltungsdetails. Stellen Sie sich vor, dass jedes Ereignis ein individueller Angriff ist und die Ereignisdetails es den Kunden ermöglichen, tiefer in die Art und Weise einzutauchen, wie er abgewehrt wurde. Im Rahmen der Ereignisdetails können wir nun in jede Regel eintauchen, die unsere adaptive Attribute Unmasking-Technik zur Abwehr von Angriffen erstellt. Diesen Monat werden wir uns mit den Attributen befassen, die in Regeln verwendet werden, und wie sie sich bei unserer globalen Kundenbasis entwickeln.

Die Regeln von Fastly DDoS Protection werden automatisch erstellt und können mehr als 10 Attribute enthalten, um Angriffe präzise vom legitimen Traffic zu unterscheiden, mit dem sie sich vermischen sollen. Ein häufig in Kombination mit anderen verwendetes Attribut ist der Standort der angreifenden IP. Im April konnten 66 % der Angriffsregeln einen Teil des Angriffs auf ein einzelnes Land isolieren (Bild 4).

Wenn wir untersuchen, welches Land am häufigsten in den Regeln auftaucht, übertreffen die Vereinigten Staaten alle anderen bei weitem (71 %), gefolgt von Deutschland (11 %), China (8 %), Frankreich (5 %) und Indonesien (5 %), um die Top 5 abzurunden (Abbildung 5).

Obwohl ein Teil der Angriffe wahrscheinlich von amerikanischen Cyberangreifern ausgeht, ist es erwähnenswert, dass das Einrichten von serverlosen Instanzen unglaublich zugänglich und unkompliziert ist. Mit geringem Aufwand können Angreifer das autonome System (AS) ihrer Wahl nutzen und ihre Angriffe von nahezu jedem Ort der Welt aus starten, unabhängig von ihrem tatsächlichen Standort.

Ein weiteres häufig verwendetes Attribut in einer Regel ist eine einzelne IP. Etwa 31 % der April-Regeln konnten den Angriff auf eine einzelne IP als Teil einer größeren Regel isolieren (Abbildung 6). Dies ist besonders interessant, da volumetrische Angriffe oft als Distributed Denial of Service (DDoS) beschrieben werden, wobei diese Daten darauf hindeuten, dass ein erheblicher Teil der Angriffe gar nicht so verteilt ist.

Bei genauerer Betrachtung stellen wir fest, dass eine IP, die als Teil einer Regel verwendet wird, in 52 % der Fälle nur einen einzigen Fastly-Kunden anspricht (Bild 7). Während der verbleibende Anteil der mit Angriffen in Verbindung stehenden IPs mit der Anzahl der eindeutigen Kunden schnell abnimmt, haben wir die IPs genauer untersucht, die die meisten Kunden angegriffen haben, um zu sehen, wie weit verbreitet ihre Angriffe waren.

Diesen Monat haben wir entdeckt, dass eine einzelne IP-Adresse mit DDoS-Angriffen auf über 400 Kundenservices in Verbindung gebracht wurde. Bei näherer Untersuchung dieser IP stellen wir fest, dass die IP zu einer großen globalen SaaS-Organisation gehört. Vor diesem Hintergrund gingen wir davon aus, dass die IP-Adresse mit böswilligem Scraping in großem Maßstab über alle diese Kundenkonten hinweg in Verbindung gebracht werden würde. Eine genauere Analyse der Metriken unserer Next-Gen WAF deutet jedoch auf etwas viel Schlimmeres hin. Die IP-Adresse war mit mehreren CMDEXE-, Directory-Traversal-Angriffen und Backdoor-Versuchen verbunden, die zwar weniger umfangreich, aber nicht weniger bösartig waren. Diese Daten deuten darauf hin, dass die DDoS-Angriffe auf Hunderte von Kunden wahrscheinlich nicht das Ergebnis einer Geschäftsentscheidung waren, Daten so schnell wie möglich zu scrapen, sondern dass stattdessen ein Firmencomputer oder eine IP-Adresse kompromittiert wurde. Mit diesen Informationen meldeten wir die Angriffsdetails an die Organisation und boten an, ihre Ermittlungen bei Bedarf zu unterstützen.

Dies ist erst der Anfang der Art von Datenexplorationen, die das Update „Angriffseinblicke“ für diese Berichte freischaltet. Bleiben Sie dran für zukünftige Ausgaben, in denen wir tiefere Einblicke in andere Attribute und einzigartige Erkenntnisse bieten, die nur Fastly liefern kann.

Umsetzbare Handlungsempfehlungen

Was sollten Sie also aus all diesen Informationen mitnehmen?

Es ist wichtig zu beachten, dass dieser Bericht nur einen Monat an Daten darstellt und mit First-Party-Erkenntnissen aus Ihren Observability-Tools und längerfristigen Recherchen verwendet werden sollte, um ein umfassendes Bild zu erstellen. Allein aus diesen Daten lassen sich jedoch einige wichtige Erkenntnisse gewinnen, die Sie in Ihre bestehenden Sicherheitsmaßnahmen integrieren können:

1. Erwägen Sie die Implementierung dedizierter DDoS-Lösungen, die sich an die unterschiedlichen Muster des legitimen und des Angriffsverkehrs anpassen können. Das Angriffsvolumen stieg im Jahr 2025 jeden Monat an, mit einem massiven Anstieg im April, und während das Zwischenspeichern von Inhalten die Belastung der Origin-Server etwas verringern kann, ist eine dedizierte Lösung wahrscheinlich optimal.

2. Achten Sie darauf, wie Sie die geobasierte Entscheidungsfindung nutzen, wenn Sie noch manuell Regeln oder Rate-Limiting erstellen (oder zur automatischen Regelerstellung übergehen). Der Großteil der DDoS-Regeln, die im April Standortdaten nutzten, stammt von US-amerikanischen IPs, was bedeutet, dass pauschale Sperr- oder Erlaubnislisten unerwartete Konsequenzen haben können.

3. Stellen Sie sicher, dass Sie einen umfassenden Überblick über Ihre AppSec-Tools und Ihre Sicherheitslage haben – keine Datensilos erlaubt. Nur weil wir Zugriff auf DDoS-, Bot-Management- und Next-Gen WAF-Metriken hatten, konnten wir feststellen, dass es sich nicht um einen außer Kontrolle geratenen Scraper handelte, sondern um eine größere Kampagne über eine kompromittierte Maschine/IP handelte.

Automatische Abwehr disruptiver und verteilter Angriffe

Wie immer möchten wir Sie daran erinnern, dass Lösungen wie Fastly DDoS Protection die in diesem Bericht beschriebenen Angriffe automatisch stoppen und Ihnen die nötigen Einblicke geben, um die Wirksamkeit schnell zu überprüfen. Fastly DDoS-Schutz nutzt die enorme Bandbreite und adaptiven Techniken unseres Netzwerks, um sicherzustellen, dass Ihre Websites schnell und verfügbar bleiben, und das alles ohne erforderliche Konfiguration. Beginnen Sie noch heute mit der Nutzung unserer adaptiven Technologie heute und erhalten Sie bis zu 500.000 Anforderung kostenlos, oder kontaktieren Sie unser Team, um mehr zu erfahren.