Der aktuelle monatliche DDoS-Wetterbericht beschreibt den DDoS-Angriff, der beinahe Weihnachten ruiniert hätte – der größte Angriff im Jahr 2025, den Fastly verzeichnet hat
Das sofortige globale Netzwerk von Fastly hat Billionen von versuchten DDoS-Angriffen auf den Layern 3 und 4 gestoppt. Allerdings sind raffinierte neue Layer-7-Angriffe schwerer zu erkennen und potenziell weitaus gefährlicher. Diese erhebliche Bedrohung für die Performance und Verfügbarkeit jeder internetbasierten App oder API setzt Nutzer und Organisationen einem Risiko aus. Fastly nutzt Telemetriedaten aus unserem globalen 497-Terabit-pro-Sekunde-Edge-Netzwerk*, das 1,8 Billionen Anfragen pro Tag** bedient, und Fastly DDoS-Schutz, um eine einzigartige Reihe von Einblicken in das globale „DDoS-Wetter“ für Anwendungen zu gewinnen – der einzige monatliche Bericht dieser Art. Nutzen Sie anonymisierte Daten, Erkenntnisse und umsetzbare Ratschläge zu den neuesten DDoS-Trends bei Apps, um Ihre Sicherheitsinitiativen zu stärken.
Wichtigste Erkenntnisse:
Angriff mit dem höchsten Volumen im Jahr 2025: Der 25. Dezember war der Tag mit dem höchsten Angriffsvolumen bei Angriff im gesamten Jahr 2025, wobei das Volumen hauptsächlich auf einen einzelnen Angriff zurückzuführen ist
Größere Angriffe als in den Vormonaten: Die Anzahl der Angriffe war zwar ähnlich wie im November, das Angriffsvolumen jedoch deutlich höher, was auf durchschnittlich größere Angriffe hindeutet
Ausgefeilte Angriffe kombinieren mehrere DDoS-Vektoren: Der massive Angriff am 25. Dezember nutzte mehrere Arten von DDoS (sowohl auf Netzwerk- als auch auf Anwendungsebene) in einem gescheiterten Versuch, Performance-Auswirkungen zu verursachen
Angriffstrends im Dezember
Nach vier aufeinanderfolgenden Monaten mit rückläufigem DDoS-Angriffsvolumen waren wir zu Beginn des Dezembers unsicher, ob sich der Trend fortsetzen würde – wir stellten jedoch das genaue Gegenteil fest. Im Dezember wurde mit großem Abstand das höchste Angriffsvolumen an einem einzelnen Tag verzeichnet.
Vergleicht man Dezember mit allen anderen Monaten des Jahres 2025, so sehen wir, dass er nicht nur von der Tendenz abweicht, sondern mit Abstand der Monat mit dem größten Angriffsvolumen ist – 37 % größer als der nächsthöchste Monat, Juni.
Während das Angriffsvolumen im Dezember deutlich höher war, blieb die Zahl der einzelnen Angriffe im Vergleich zum Vormonat relativ konstant.
Angesichts der Tatsache, dass der November eines der niedrigsten Angriffsvolumen im Jahr 2025 aufwies und der Dezember das höchste, deutet die Ähnlichkeit in den Angriffszahlen auf ein insgesamt höheres Angriffsvolumen hin. Die Analyse der Daten zeigte, dass die höhere durchschnittliche Angriffsgröße stark durch einen einzelnen Angriff am 25. Dezember verzerrt ist, dem Tag mit dem höchsten Angriffsvolumen in diesem Jahr. Hier sehen Sie, wie dieser Angriff ablief.
Der Grinch-Angriff: Der größte DDoS-Angriff 2025
Cybersicherheit kennt keine freien Tage.
Während viele die Feiertage mit ihren Lieben verbrachten, blieben die Cybersicherheitsteams (oftmals unterbesetzt) rund um den Globus bereit, Angriffe abzuwehren. Und das aus gutem Grund: Am Abend des ersten Weihnachtstages in den USA bekam ein Kunde von Enterprise High Technology die volle Wucht eines massiven Botnetzes zu spüren, das den größten DDoS-Angriff durchführte, den Fastly im gesamten Jahr 2025 erlebt hat.
Während viele Menschen an der Westküste der Vereinigten Staaten ihr Weihnachtsessen genossen, startete ein Botnetz von enormem Ausmaß einen ausgeklügelten DDoS-Angriff, indem es Netzwerk- und Anwendungsfluten aus aller Welt kombinierte, um einen Kunden zu überlasten, da die Angreifer annahmen, ihr Ziel sei unvorbereitet.
Bei Fastly werden wir diesen Versuch, dem Cybersicherheitsteam des Ziels „Weihnachten zu stehlen“, als „Grinch-Angriff“ bezeichnen.
(Ja, das ist die beste Version.) Markiert mich nicht!)
Während wir uns mit den Einzelheiten des Angriffs befassen, um einen Einblick in die Macht und die Fähigkeiten zu geben, über die diese Botnetze verfügen, ist es wichtig, sich ein Bild von den verschiedenen Arten von DDoS-Angriffen zu machen, die sie starten können. Die meisten Angriffe erfolgen in einer von drei Formen:
Paket-pro-Sekunde-Angriffe (PPS) – diese sind oft darauf ausgelegt, CPU- und Zustandstabellen zu überfordern und die Paketverarbeitungskapazität unter Druck zu setzen, häufig auf den Layern 3/4
Terabits-pro-Sekunde-Angriffe (Tbit/s) – diese konzentrieren sich auf Bandbreitenerschöpfung an den Layern 3/4 und überlasten Leitungen unabhängig von der Paketanzahl
Anfragen-pro-Sekunde (RPS) – diese üben Druck auf Anwendungsebene (Layer 7) aus, indem sie Anwendungen und APIs mit vollständig ausgearbeiteten Anfragen überfluten
Oftmals konzentrieren sich Angreifer bei einem Angriff auf eine einzige dieser drei Methoden. Mit zunehmender Komplexität des Angriffs kombinieren sie jedoch mehrere Methoden, um sowohl die Hardware-Ressourcen als auch das Personal, das den Angriff bekämpft, zu überfordern. Im Fall des Grinch-Angriffs kombinierten die Täter gleichzeitig einen hochrangigen Anfragen-pro-Sekunde-Angriff mit einem niedrigrangigen Paket-pro-Sekunde-Angriff, um größeren Schaden anzurichten.
Die Anwendungs-DDoS-Phase des Grinch-Angriffs
Am Weihnachtsabend zielten Angreifer in beispielloser Skalierung auf mehrere Anwendungen und APIs eines großen Hochtechnologie-Unternehmens ab. Innerhalb einer Minute skalierte der Grinch auf über 10 Millionen Anfragen pro Sekunde und erreichte kurz darauf drei Minuten lang eine anhaltende maximale Anfragezahl von über 100 Millionen pro Sekunde. Zum Vergleich: In den Berichten der vergangenen Monate haben wir über massive Angriffe mit 1 Million und 15 Millionen Anfragen pro Sekunde berichtet, die Rekorde gebrochen haben, aber dieser Angriff erreichte nicht nur eine 7- bis 8-mal größere Skalierung, er dauerte auch noch ~48 Stunden länger an.
Das untenstehende Diagramm verwendet eine logarithmische Skalierung. Gleiche vertikale Abstufungen stehen für die Veränderung des Traffics um Größenordnungen, nicht für feste Anfragezahlen. Dieses Format ermöglicht es uns, sowohl den normalen Traffic als auch extreme Spitzenwerte in ein und demselben Diagramm darzustellen. Die Grafik zeigt nicht nur das massive Ausmaß, das der Angriff zu Beginn erreichte, sondern auch den anhaltenden Angriff, der mehrere Tage andauerte.
Insgesamt bestand diese Phase des Grinch aus über 220 Milliarden Anfragen, viel mehr als jeder andere Angriff in diesem Monat.
Wir sind noch tiefer eingetaucht und haben untersucht, welche Arten von Regeln Fastly DDoS-Schutz automatisch generiert hat, um den Angriff abzuwehren. Angriffe dieser Ausgefeiltheit zu mindern, ohne legitimen Traffic zu beeinträchtigen, ist komplex, aber die Adaptive Threat Engine der Lösung hat über tausend Regeln entwickelt, um Angriffe von legitimem Traffic zu trennen. Bei ganzheitlicher Betrachtung zeichnen sich einige Muster ab.
75 % der Regeln waren in der Lage, den Angriff auf ein einzelnes Land zu beschränken. Der Angriffs-Traffic des Grinch kam hauptsächlich aus den Vereinigten Staaten (25 %), Brasilien (22 %) und Mexiko (21 %).
Anekdotisch lässt sich feststellen, dass viele der primären Länder, die bei dem Angriff zum Einsatz kamen, auch in der Analyse des Kimwolf-Botnetzes durch XLab erwähnt werden, das in letzter Zeit in den Fokus der Öffentlichkeit gerückt ist. Dies führt unser Team zu der Annahme, dass dieses Botnetz aufgrund der massiven Skalierung und geografischen Ähnlichkeiten dasjenige sein könnte, das den Grinch gestartet hat. Wenn Sie noch nichts von diesem Botnetz gehört haben, lesen Sie den aktuellen Bericht von Brian Krebs hier.
Obwohl der Ländercode dazu beitrug, Teile des Angriffs zu isolieren, wird dieses Regelattribut immer in Kombination mit anderen verwendet, um Angriffe sicher von legitimem Traffic zu trennen. Im Fall des Grinch brauchte es im Durchschnitt mehr als vier Attribute in jeder Regel, um den Angriffs-Traffic von allem anderen zu isolieren. Kombinationen von Attributen wie spezifischen IPs (28 % der Regeln), ASNs (57 % der Regeln) und allgemeinen Browser-/Header-Fingerprints (99 % der Regeln) ermöglichten es Fastly DDoS-Schutz, den Angriffs-Traffic des Grinch automatisch für die Dauer der über 48 Stunden sicher zu isolieren.
Die Netzwerk-DDoS-Phase des Grinch-Angriffs
Als sich der Anwendungs-DDoS-Angriff von Grinch stabilisierte (immer noch mit einer unglaublich hohen Rate von ~1 Million Anfragen pro Sekunde) und einige Stunden nach Beginn des Angriffs langsam nachließ (wahrscheinlich, weil die Angreifer nur begrenzten Erfolg hatten), fügten sie schnell eine neue Variable hinzu: einen Netzwerk-DDoS-Angriff. Diese Phase, die hauptsächlich auf Angriffe aus Südamerika zurückzuführen ist, dauerte fast eine halbe Stunde und versuchte, die Dienste mit fast 70 Millionen Paketen pro Sekunde zu überfluten. Interessanterweise zeigt sich bei Betrachtung des L7-Angriffs mit diesem Hintergrund, dass unmittelbar nach Beginn des Netzwerk-DDoS-Angriffs der L7-Angriff an Geschwindigkeit verlor und kurz darauf einen deutlichen Rückgang der Anfragen pro Sekunde (RPS) verzeichnete.
Wir können zwar nicht mit Sicherheit sagen, was die Ursache dafür ist, aber dies könnte ein Hinweis darauf sein, dass die Angreifer auf Kapazitäts- und Ressourcenbeschränkungen stoßen, da dem Botnet nur eine bestimmte Menge an Energie zur Verfügung steht, wenn keine infizierten Geräte zur Verfügung stehen. Dies ist keineswegs ein definitives Ergebnis, da es Dutzende von Erklärungen gibt – der Angriff hat seine Ressourcengrenze erreicht, Angreifer haben andere Organisationen attackiert, die keine Fastly-Kunden sind, und unzählige andere Antworten – aber wie diese Phase dieser Angriffe in Kombination aussieht, birgt zumindest einige zum Nachdenken anregende Erkenntnisse.
Umsetzbare Handlungsempfehlungen
Was sollten Sie also aus all diesen Informationen mitnehmen? Wie können Sie Ihre Organisation vor dem Grinch schützen?
Die Angreifer sind versiert und zielen darauf ab, den Betrieb zu stören, wenn die vermeintliche Abwehr schwach ist. Eine auf die USA ausgerichtete Organisation an Weihnachten ins Visier zu nehmen, war beabsichtigt und verstärkt den Bedarf an automatisierten Lösungen oder einem Anbieter von Managed Security, der Angriffe abwehren kann, obwohl die Mitarbeiterzahl an den Feiertagen wahrscheinlich geringer ist.
Der Grinch-Angriff, der nach mehreren aufeinanderfolgenden Monaten mit geringem Angriffsaufkommen auftrat, verdeutlicht, warum Unternehmen eine Lösung benötigen, die permanent oder auf Abruf funktioniert, um Angriffe abzuwehren, wenn diese unweigerlich auftreten. Dies bietet Budgetflexibilität, ohne dabei die Sicherheit zu beeinträchtigen.
Größe, Skalierung und Komplexität massiver Angriffe erfordern eine automatische Lösung, die den Angriffs-Traffic sicher vom normalen Traffic trennen kann. Fastly DDoS-Schutz hat im Verlauf des Grinch-Angriffs über tausend Regeln erstellt, und das ist nichts, was Menschen in derselben Skalierung, Geschwindigkeit und Wirksamkeit nachahmen können.
Automatische Abwehr disruptiver und verteilter Angriffe
Während massive Angriffe für Schlagzeilen sorgen, beobachten wir eine anhaltende Flut von DDoS-Angriffen, die auf Organisationen in allen Branchen abzielen. Die unvorhersehbare Natur dieser Angriffe macht deutlich, warum Unternehmen nach einer Lösung suchen sollten, die die in diesem Bericht beschriebenen verteilten Multi-Vektor-Angriffe automatisch abwehrt. Unsere adaptive Technologie fängt den nächsten Traffic-Anstieg ab, damit Sie es nicht tun müssen. Kontaktieren Sie unser Team oder starten Sie noch heute Ihre kostenlose Testversion.
* Stand: 31. März 2025
** Stand: 31. Juli 2023