DDoS im Juni

Der exklusive monatliche DDoS-Wetterbericht von Fastly für Juni 2025 verzeichnet 250 Milliarden Angriffsanfragen, die auf einen großen Hightech-Anbieter abzielten

Das sofortige globale Netzwerk von Fastly hat Billionen von versuchten DDoS-Angriffen auf den Layern 3 und 4 gestoppt. Allerdings sind raffinierte neue Layer-7-Angriffe schwerer zu erkennen und potenziell weitaus gefährlicher. Diese erhebliche Bedrohung für die Performance und Verfügbarkeit jeder internetbasierten App oder API setzt Nutzer und Organisationen einem Risiko aus. Fastly nutzt Telemetriedaten aus unserem globalen 427-Terabit-pro-Sekunde-Edge-Netzwerk*, das 1,8 Billionen Anfragen pro Tag** bedient, und Fastly DDoS-Schutz, um eine einzigartige Reihe von Einblicken in das globale „DDoS-Wetter“ für Anwendungen zu gewinnen – der einzige monatliche Bericht dieser Art. Nutzen Sie anonymisierte Daten, Erkenntnisse und umsetzbare Ratschläge zu den neuesten DDoS-Trends bei Apps, um Ihre Sicherheitsinitiativen zu stärken.

Wichtigste Erkenntnisse

1. Ein Angriff mit über 250 Milliarden Anfragen war der größte DDoS-Angriff auf Anwendungen, den wir in diesem Jahr bisher beobachtet haben.

2. Fastly DDoS-Schutz hat im Juni durchschnittlich fast zwei Angriffe pro Minute festgestellt.

3. Eine einzelne JA4-Signatur wurde in 17 % der zugehörigen Regeln erkannt

Traffic-Trends

Jeden Tag im Juni beobachtete Fastly DDoS-Schutz Milliarden von DDoS-Angriffen auf Kundenservices. Die kumulierten DDoS-Angriffe auf Anwendungen im Juni wurden von zwei Tagen zu Beginn des Monats dominiert. Am 6. und 7. Juni war das Angriffsvolumen so groß, dass es die Darstellung des restlichen Monatsvolumens in der Grafik drastisch verzerrt. Tatsächlich ist der Höhepunkt der Traffic-Spitze am 6. Juni 20-mal größer als an jedem anderen Tag außerhalb der zweitägigen Spitze.

Der Anstieg ist so stark, dass er das durchschnittliche Volumen des Monats über den Großteil des täglichen Gesamtvolumens des Monats hinaus angehoben hat. Vergleicht man das tägliche Angriffsvolumen mit dem gesamten Jahr 2025, sieht man, wie groß diese Angriffe wirklich waren. Kein anderer Tag im Jahr 2025 kommt dem nahe. Der Unterschied in der Skalierung ist so groß, dass ganze Tage im Januar nicht einmal in der Grafik erscheinen!

Angesichts des massiv abweichenden Volumens am^6. und^7. Juni wollten wir herausfinden, was genau passiert ist – war es ein koordinierter Angriff auf mehrere Kunden, eine bestimmte Branche oder etwas dazwischen? Wie wir herausfanden, war die Wahrheit weitaus beunruhigender.

Der GROSSE Anstieg

Fastly DDoS-Schutz hat in diesem Jahr einige massive Angriffe beobachtet, zuletzt in unserem Mai-Bericht, einen Angriff, der über eine Stunde dauerte und mehr als 1 Million Anfragen pro Sekunde verzeichnete. Am^6. und^7. Juni war der Großteil des Angriffsvolumens an diesen Tagen jedoch auf zwei koordinierte Angriffe auf einen einzigen großen (Enterprise-)Kunden zurückzuführen, der im Hightech-Bereich tätig war. Im Laufe von nur zwei Tagen starteten böswillige Akteure zwei separate Angriffe mit insgesamt über 250 Milliarden Anfragen. Im Folgenden beschreiben wir die Details und charakteristischen Merkmale des Angriffs und geben Ihnen einen Einblick in die Macht und das anhaltende Ausmaß der Skalierung, über die die Angreifer verfügen.

Um 22 Uhr Ortszeit (basierend auf dem Standort der Unternehmenszentrale des Kunden) beobachtete ein großer Hightech-Anbieter den Beginn eines über vierstündigen Angriffs auf einen seiner Services mit der höchsten Sichtbarkeit. Der erste von zwei längeren Angriffen wurde von einer Vielzahl von Ländern aus gestartet, darunter Deutschland, China, die Vereinigten Staaten, Indien und vor allem die Niederlande. Der Angriff mit einem Spitzenwert von 1,6 Millionen Anfragen pro Sekunde wurde innerhalb von Sekunden von Fastly DDoS-Schutz erkannt. Dieses nutzte mehrere Attribute, darunter den Hostnamen und TLS-Details, um den verteilten Angriff von dem legitimen Traffic zu trennen, mit dem er sich vermischen sollte. Um 2:15 Uhr Ortszeit endete der erste Angriff schließlich. Leider endet die Geschichte hier nicht.

Eine halbe Stunde später wurde der Angriff für erstaunliche 19 weitere Stunden fortgesetzt. Angesichts der nahezu identischen Angriffsspuren und Herkunftsländer wurde dieser Angriff wahrscheinlich vom selben Angreifer durchgeführt. Er erreichte ein Spitzenvolumen von 1,7 Millionen Anfragen pro Sekunde.

Die Zusammenführung der Daten beider Angriffe zeigt, dass der Großteil des Datenverkehrs zwar aus den Niederlanden, den Vereinigten Staaten, Deutschland und Indonesien stammte. Allerdings enthielt jede der automatisch erstellten Regeln zur Abwehr des Angriffs ein zusätzliches Land (Frankreich, China oder das Vereinigte Königreich). Dies scheint ein konzertierter Versuch des Angreifers zu sein, seine Spuren zu verwischen.

Zu ihrem Unglück war dies jedoch nicht erfolgreich. Der Kunde hatte keine Ausfallzeiten oder Latenzprobleme, und unsere proprietäre Attribute Unmasking-Technologie konnte die Angriffsmerkmale weiterhin präzise identifizieren – tja, dumm gelaufen, Angreifer.

Insgesamt dauerten diese Angriffe fast 24 Stunden. Der Umfang und die Dauer dieses Angriffs verdeutlichen allen Unternehmen erneut, wie wichtig eine automatisierte DDoS-Abwehrlösung ist. Obwohl wir festgestellt haben, dass fast die Hälfte aller Angriffe weniger als eine Minute dauert, verdeutlichen Beispiele wie dieses, warum es nicht praktikabel ist, Teams manuell statische Regeln zur Abwehr eines Angriffs ausarbeiten zu lassen. Obwohl sich der Angriff im Laufe seiner Dauer änderte, konnte sich Fastly DDoS-Schutz parallel dazu anpassen, um dem Angriff zu folgen, ohne den legitimen Traffic zu beeinträchtigen.

Angriffstrends

Ereignisse waren Teil eines kürzlichen Updates für Fastly DDoS-Schutz, und damit kamen zwei wichtige Funktionen hinzu: Ereignisse und Ereignisdetails. Stellen Sie sich vor, dass jedes Ereignis ein einzelner Angriff ist und die Ereignisdetails es Kunden ermöglichen, genauer zu untersuchen, wie er abgewehrt wurde. Im Wesentlichen bieten Ereignisse eine genauere Möglichkeit, einen einzelnen Angriff zu messen. Im Juni beobachtete Fastly DDoS-Schutz 77.451 kumulative DDoS-Angriffe, die wir als Ereignisse kategorisieren. Überraschenderweise sind das nur acht Angriffe weniger als im Bericht vom Mai. Dies könnte zwar nur ein Zufall sein, aber auch die Anzahl der Angreifer weltweit widerspiegeln. Vielleicht starten sie jeden Monat eine ähnliche Anzahl kumulativer Angriffe, nur auf unterschiedliche Organisationen. Wir werden diesen Trend auch in zukünftigen Ausgaben überwachen. Es ist erwähnenswert, dass wir, wenn wir die Ereignisse gleichmäßig auf den Juni verteilt hätten, fast zwei Angriffe pro Minute verzeichnet hätten!

Jeden Monat untersuchen wir DDoS-Angriffe im Hinblick darauf, wer angegriffen wurde. Angesichts des Umfangs der Angriffe vom 6. und 7. Juni werden Sie deren Einfluss auf jedes der folgenden Volumendiagramme erkennen.

Das Angriffsvolumen nach Branchen wird eindeutig durch das im vorherigen Abschnitt beschriebene Hightech-Unternehmen verzerrt. Wenn wir dies jedoch mit der Ereignisanzahl nach Branchen kombinieren, sehen wir, dass die Medien- und Unterhaltungsbranche das Hauptziel der meisten Angriffe war. Dies steht im Einklang mit unseren früheren Berichten, möglicherweise weil diese Branche am ehesten die unerwünschte Aufmerksamkeit von Angreifern auf sich zieht, die mit den auf ihren Websites veröffentlichten Inhalten nicht einverstanden sind.

Unternehmen gibt es in allen Größen und bieten uns eine weitere Linse, durch die wir Angriffe beobachten können. Diejenigen, die mit diesen Berichten noch nicht vertraut sind, sollten wissen, dass wir die Unternehmensgröße nach Jahresumsatz aufschlüsseln:

• Großunternehmen: Mehr als 1 Milliarde Dollar

• Kommerziell: Zwischen 100 Millionen und 1 Milliarde Dollar

• Kleine und mittelständische Unternehmen (KMU): Weniger als 100 Millionen Dollar

Während das Großunternehmen, das im Juni Ziel des riesigen Angriffs war, die Volumenstatistik dominiert, machen kleine und mittelständische Unternehmen den Großteil der Anzahl der Ereignisse aus. Angesichts der Verteilung der Ereignisse nach Branchen ist es wahrscheinlich, dass auch KMUs aus den Bereichen Medien und Unterhaltung, Hightech und Handel vertreten sind. Ihre Prävalenz spiegelt sowohl den Kundenstamm von Fastly als auch die Tatsache wider, dass es weitaus mehr KMUs gibt, die weniger als 100 Millionen US-Dollar pro Jahr verdienen als größere Unternehmen, die mehr Umsatz erzielen. Auf dieser Erde gibt es nur eine begrenzte Anzahl an Dollar (und natürlich auch anderen Währungen).

Trends zur Abwehr

In den letzten beiden Berichten haben wir untersucht, welcher Prozentsatz der Regeln Land und/oder IP umfasst, und festgestellt, dass die Ergebnisse unglaublich ähnlich waren.

1. Die IP-Adresse war im April und Mai in 31 % bzw. 35 % der Regeln enthalten.

2. Der Standort war im April und Mai in 66 % bzw. 67 % der Regeln enthalten.

Angesichts der Tatsache, dass diese Prozentsätze von Monat zu Monat sehr konstant zu sein scheinen, werden wir in zukünftigen Ausgaben seltener darauf eingehen. Vor diesem Hintergrund haben wir diesen Monat untersucht, wie Signaturen wie JA4s als Teil einer Regel verwendet werden, um einen Angreifer zu identifizieren, wenn sie mit anderen Parametern wie Standort, IP, angegriffenem Kunden und mehr kombiniert werden. Für diejenigen, die es nicht kennen: Ein JA4 ist ein TLS-Client-Fingerabdruck, der Informationen wie das Protokoll, die TLS-Version, SNI, die Anzahl der Cipher Suites und mehr enthält, die in einem TLS-Client-Hello-Paket zu sehen sind. Obwohl es nicht ungewöhnlich ist, dass JA4s mit völlig legitimen Anfragen geteilt werden, bilden sie in Kombination mit anderen Parametern eine effektive Linse, durch die wir einen Angreifer identifizieren können. Das liegt zum Teil daran, dass Signaturen wie JA4 deutlich schwieriger zu fälschen sind als Attribute wie IP-Adresse oder User Agent.

Im Juni wurden Signaturen wie JA4 verwendet, um einen erheblichen Teil der Angriffe zu identifizieren. Während die überwiegende Mehrheit der JA4s nur als Teil einer einzigen Regel verwendet wurde, haben wir einen identifiziert, der an 17 % aller Regeln beteiligt war.

Bei genauerer Betrachtung stellen wir fest, dass diese Signatur, wenn sie als Teil einer Regel mit Standortbestimmung genutzt wird, typischerweise mit Traffic aus Europa (39 %) oder den USA (13 %) in Verbindung gebracht wird. Diese Signatur scheint auch ein Botnetz mit einer Vielzahl von IP-Adressen zu nutzen, da die überwiegende Mehrheit der damit verbundenen Regeln den Angriff nicht auf eine einzelne IP zurückführen kann. Dies deutet auf einen stark verteilten Angriff hin, der wahrscheinlich von einer Person oder einer Gruppe mit umfassender Erfahrung im Bereich DDoS-Angriffe durchgeführt wurde.

Die Kunden, auf die diese Signatur abzielt, sind ebenfalls sehr aufschlussreich. 53 einzelne Kunden werden mit Angriffen über diese Signatur in Verbindung gebracht, und ein erheblicher Teil von ihnen arbeitet in Nachrichtenagenturen und Plattformen, die sie unterstützen. Darüber hinaus konzentrieren sich einige der angegriffenen Kunden auf hyperregionale Nachrichten innerhalb Europas. Da sie aufgrund ihrer lokalen Ausrichtung keinen weitreichenden globalen Traffic aufweisen, könnte dies darauf hindeuten, dass sich dieser Angreifer irgendwo innerhalb der Europäischen Union befindet.

Angesichts der Verbreitung dieses unerwünschten Akteurs in Europa, insbesondere bei Nachrichtenagenturen und ähnlichen SaaS-Plattformen, haben wir uns dafür entschieden, ihn als „Byline Banshee“ zu bezeichnen. In Anlehnung an die irische Folklore (ein Land, aus dem unserer Beobachtung nach ein Teil des geolokalisierten Datenverkehrs dieses Angreifers stammt), waren ihre Angriffe ziemlich laut, genau wie der klagende Geist, von dem der Name stammt. Wir werden ein Auge darauf haben, ob die Byline Banshee in den kommenden Monaten wieder auflebt!

Umsetzbare Handlungsempfehlungen

Was sollten Sie also aus all diesen Informationen mitnehmen?

Es ist wichtig zu beachten, dass dieser Bericht nur die Daten eines Monats repräsentiert und mit den Erkenntnissen aus Ihren Beobachtungstools und längerfristigen Untersuchungen kombiniert werden sollte, um einen umfassenden Überblick zu erhalten. Allein aus diesen Daten lassen sich jedoch einige wichtige Erkenntnisse gewinnen, die Sie in Ihre bestehenden Sicherheitsmaßnahmen integrieren können:

1. Stellen Sie sicher, dass Ihre Verteidigung robust genug ist, um DDoS-Angriffe auf Anwendungen in einer Größenordnung von über 1 Milliarde Anfragen pro Sekunde abzuwehren. Während in der Vergangenheit Angriffe dieser Größenordnung vor allem auf die größten Unternehmenskunden unserer Plattform abzielten, macht der Angriff im Juni auf eine Organisation kommerzieller Größe deutlich, dass diese Organisationen nicht weniger wahrscheinlich ins Visier von Angreifern geraten, nur weil sie weniger Umsatz erzielen.

2. Erwägen Sie die Nutzung von Signaturen wie JA4 zur Identifizierung von Angreifern (oder die Nutzung von Produkten wie Fastly DDoS-Schutz, die diese automatisch in Regeln integrieren). Obwohl es sich hierbei nicht um ein neuartiges Konzept handelt, bietet es eine weitere Möglichkeit, Angriffe zu betrachten und den Traffic präzise zu trennen, ohne legitime Nutzer zu beeinträchtigen.

3. Achten Sie darauf, wie Sie standortbasierte Entscheidungen nutzen, wenn Sie noch manuell Regeln erstellen oder Rate Limiting betreiben (oder steigen Sie auf die automatische Regelerstellung um). Wie die Angriffe von Byline Banshee in diesem Monat zeigten, stammte der Großteil des Traffics aus Ländern, die nicht der Definition eines Nationalstaats entsprechen.

Automatische Abwehr disruptiver und verteilter Angriffe

Wie immer möchten wir Sie daran erinnern, dass Lösungen wie Fastly DDoS-Schutz die in diesem Bericht beschriebenen Angriffe automatisch stoppen und Ihnen die Einblicke bieten, die Sie benötigen, um die Wirksamkeit schnell zu validieren. Fastly DDoS-Schutz nutzt die enorme Bandbreite und adaptiven Techniken unseres Netzwerks, um sicherzustellen, dass Ihre Websites schnell und verfügbar bleiben, und das alles ohne erforderliche Konfiguration. Beginnen Sie noch heute mit der Nutzung unserer adaptiven Technologie und erhalten Sie bis zu 500.000 Anfragen kostenlos, oder kontaktieren Sie unser Team, um mehr zu erfahren.