Zurück zum Blog

Folgen und abonnieren

DDoS im September

Liam Mayron

Principal Product Manager

David King

Senior Product Marketing Manager, Security

Alexander Bergman

Director, TLS Eng & Edge Protocols

SecurityBrancheneinblicke

Der exklusive monatliche DDoS-Wetterbericht von Fastly für September 2025 beschreibt einen langanhaltenden Angriff mit 15 Millionen RPS, der über eine Stunde andauerte

Das sofortige globale Netzwerk von Fastly hat Billionen von versuchten DDoS-Angriffen auf den Layern 3 und 4 gestoppt. Allerdings sind raffinierte neue Layer-7-Angriffe schwerer zu erkennen und potenziell weitaus gefährlicher. Diese erhebliche Bedrohung für die Performance und Verfügbarkeit jeder internetbasierten App oder API setzt Nutzer und Organisationen einem Risiko aus. Fastly nutzt Telemetriedaten aus unserem globalen 462-Terabit-pro-Sekunde-Edge-Netzwerk*, das 1,8 Billionen Anfragen pro Tag** bedient, und Fastly DDoS-Schutz, um eine einzigartige Reihe von Einblicken in das globale „DDoS-Wetter“ für Anwendungen zu gewinnen – der einzige monatliche Bericht dieser Art. Nutzen Sie anonymisierte Daten, Einblicke und umsetzbare Ratschläge zu den neuesten DDoS-Trends bei Anwendungen, um Ihre Sicherheitsinitiativen zu stärken.

Wichtigste Erkenntnisse:

  • 71 % des Angriffsvolumens am Tag mit dem höchsten Volumen im September ist auf einen Angriff auf einen einzelnen Kunden zurückzuführen.

  • Das Angriffsvolumen im September fiel deutlich unter die Trendlinie und entsprach nur 61 % des Volumens im August.

  • Medien und Unterhaltung verzeichneten das größte mittlere Angriffsvolumen, gefolgt von den Bereichen Bildung und Hochtechnologie.

Traffic-Trends im September

Der September ist gekommen und gegangen, und während die Schüler auf der Nordhalbkugel wieder zur Schule gingen, waren die Angreifer offenbar mit sich selbst beschäftigt. Der September war ein ruhigerer Monat für Angriffe; die Anzahl der Angriffe lag deutlich unter dem Trend und betrug nur 61 % des im August beobachteten Angriffsvolumens.

Der September schloss das dritte Quartal des Geschäftsjahres ab, und beim Vergleich des dritten Quartals mit den vorherigen Quartalen dieses Jahres stellen wir fest, dass der September Teil eines größeren Trends war, bei dem im dritten Quartal ein geringeres Angriffsvolumen als im zweiten Quartal zu verzeichnen war. Während das Angriffsvolumen im dritten Quartal mehr als doppelt so hoch war wie im ersten Quartal, ist diese prozentuale Veränderung hauptsächlich auf das extrem niedrige Volumen im Januar zurückzuführen.

Dies führt zu einer interessanten Schlussfolgerung: Ein niedrigeres Angriffsvolumen fällt mit Monaten zusammen, in denen die Schulen geschlossen sind. Obwohl dies keine endgültige Aussage ist, können Organisationen, wenn sich dieser Trend fortsetzt, im vierten Quartal, wenn die Schulen geöffnet sind, mit einer höheren Anzahl von Angriffen rechnen. 

Eine Aufschlüsselung des Angriffsvolumens nach Tagen in diesem Jahr zeigt, wie gering das Volumen im September im Vergleich zu den Vormonaten war.

Details zum größten Angriff im September

Betrachtet man das tägliche Traffic-Volumen im September, wird deutlich, dass ein Tag (22. September) mit dem höchsten Volumen an Angriffs-Traffic hervorsticht.

Angesichts der Tatsache, dass der September ein Monat mit weniger Angriffen war, haben wir die Gelegenheit genutzt, diesen Anstieg des Traffics zu untersuchen und mögliche übergreifende Themen zu identifizieren, die dazu beigetragen haben könnten. Wie wir herausgefunden haben, ist die überwiegende Mehrheit des Traffics auf einen einzigen Angriff auf ein Unternehmen aus der Medien- und Unterhaltungsbranche zurückzuführen.

Während wir in der Vergangenheit die größten Angriffe nach Gesamtvolumen detailliert beschrieben haben, sind die Anfragen pro Sekunde (RPS) eines Angriffs von gleicher, wenn nicht sogar größerer Bedeutung. Man kann es sich wie eine anhaltende Überschwemmung im Vergleich zu einer Sturzflut vorstellen. Beide sind auf ihre Weise schädlich, aber auf das eine ist es weitaus schwieriger zu reagieren, bevor Schaden entsteht. Betrachten wir den größten DDoS-Angriff auf eine Anwendung in diesem Jahr (nach Volumen), der im Juni beobachtet wurde. Der Angriff dauerte über zwei Tage, erzeugte über 250 Milliarden Angriffsanfragen und erreichte seinen Höhepunkt bei 1,7 Millionen RPS. Obwohl die Angriffsrate unglaublich hoch war und hauptsächlich über diesen Zeitraum anhielt, dauerte der größte Angriff im September weniger als eine Stunde und erreichte seinen Höhepunkt bei über 15 Millionen RPS. In diesem Monat ist Alexander Bergman, der die Entwicklungsarbeit für den DDoS-Schutz bei Fastly leitet, im Blog zu Gast und erläutert detailliert, wie sich Angriffe wie dieser manifestieren.

Früh am 22. September begannen Angreifer, die Produktivumgebung eines Unternehmens aus der Medien- und Unterhaltungsbranche anzugreifen. Innerhalb von nur einer Minute skalierte der Angriff auf 13,3 Millionen RPS, bevor er nur sechs Minuten später seinen Höhepunkt von 15,5 Millionen RPS erreichte.

Das Besondere an diesem Angriff ist der anhaltende Durchsatz an realen Anfragen. Wenn Anbieter über die größten DDoS-Angriffe sprechen, beziehen sie sich oft auf solche, die einen Server (DNS, Verstärkung usw.) anpingen, aber die Anfrage nie abschließen. Dieser Angriff hatte genügend echte Anfragen, um einen Super Bowl viele Male pro Sekunde zu füllen, und dieser Prozess ist rechentechnisch kostspielig. Während wir zuvor Angriffe mit größerem Durchsatz mit über 250 Millionen RPS beobachtet haben, die in der Regel weniger als fünf Minuten dauerten, dauerte dieser spezielle Angriff eine Stunde. Bei genauerer Untersuchung des Angriffs zeigte sich, dass dieser von einem einzigen ASN (Cloud-Provider) ausging, was üblich ist. Der Durchsatz jedes Clients war jedoch höher als üblich, was auf einen ausgefeilteren Daemon hindeutet. Er teilte bestimmte Eigenschaften mit gängigen Browsern, was die Erkennung erschwerte, aber andere firmeneigene Fingerabdrücke von Fastly identifizierten den Angreifer eindeutig.

Aus technischer Sicht ist es wichtig zu beachten, dass Fastly DDoS-Schutz Ihren legitimen Traffic priorisiert und so Überschneidungen bei der Abwehr minimiert, die diesen beeinträchtigen könnten. Aus all unseren Analysen können wir mit Stolz mitteilen, dass Fastly DDoS bei seinen Abwehrmaßnahmen zu 100 % präzise war und 98 % des Angriffs-Traffics abgefangen hat. Theoretisch hätte noch mehr eingedämmt werden können, allerdings hätte dies Auswirkungen auf den legitimen Traffic gehabt. Angesichts des geringen Verhältnisses zwischen Aufwand und Wirkung wäre dies kein akzeptabler Kompromiss gewesen. Wir hoffen, dass die Untersuchung der Art und Weise, wie sich Angriffe wie dieser manifestieren, den Teams einen Einblick in die Macht motivierter Angreifer verschafft und Sie in die Lage versetzt, Ihre Verteidigung entsprechend vorzubereiten.

Angriffstrends

Angesichts des hohen Angriffsvolumens, das auf den einzelnen Angriff am 22. September zurückzuführen ist, sind die Branchen- und Unternehmensgrößendiagramme in diesem Monat stark verzerrt. Medien- und Unterhaltungsunternehmen dominieren das Gesamtangriffsvolumen nach Branchenübersicht, und Unternehmensorganisationen machen mehr als die Hälfte des Gesamtvolumens des Monats aus.

Während das Gesamtvolumen durch den größten Angriff des Monats verzerrt wurde, zeigt die mittlere Angriffsgröße auch, dass Medien und Unterhaltung bei Weitem die größte Angriffsgröße aufwiesen, gefolgt von den Branchen Bildung und Hochtechnologie.

Dieser Einblick zeigt, dass der größte Angriff zwar die Gesamtvolumendaten für Branche und Unternehmensgröße verzerrt hat, diese Segmente jedoch unabhängig davon den größten Anteil am Angriffs-Traffic gehabt hätten, was mit den in früheren Meldungen beobachteten Trends übereinstimmt.

Umsetzbare Handlungsempfehlungen

Was sollten Sie also aus all diesen Informationen mitnehmen?

  1. Der Trend, dass Unternehmen aus dem Bereich Medien und Unterhaltung am häufigsten Ziel von DDoS-Angriffen sind, setzte sich im September fort und erinnerte Organisationen in diesem Bereich daran, wie wichtig die richtigen Tools sind, um die Auswirkungen zu minimieren.

  2. Sollte sich unsere Beobachtung bewahrheiten, dass das Angriffsvolumen während des Schuljahres zunimmt, sollten Organisationen sicherstellen, dass sie für Oktober und November über ausreichend Personal und entsprechende Warnsysteme verfügen, falls das Volumen und die Häufigkeit der Angriffe weiter steigen.

  3. Der größte Angriff im September erreichte einen Spitzenwert von 15,5 Millionen RPS und dauerte nur etwa eine Stunde. Organisationen sollten prüfen, ob ihre aktuellen Notfallpläne die Auswirkungen des Angriffs schnell genug hätten abmildern können, oder eine automatische DDoS-Schutz-Lösung in Betracht ziehen, um sicherzustellen, dass Kunden im Falle eines ähnlichen Angriffs nicht beeinträchtigt werden.

Automatische Abwehr disruptiver und verteilter Angriffe

Während der September im Vergleich zu den Vormonaten relativ ruhig verlief, wurden täglich Milliarden von Anfragen registriert, die im Rahmen eines DDoS-Angriffs auf Anwendungen gemeldet wurden. Angriffe sind eine Konstante, und Fastly DDoS-Schutz wurde für diese Realität entwickelt, indem es die in diesem Bericht beschriebenen verteilten Multi-Vektor-Angriffe automatisch abwehrt. Unsere adaptive Technologie fängt den nächsten Traffic-Anstieg ab, damit Sie es nicht tun müssen. Kontaktieren Sie unser Team oder starten Sie noch heute Ihre kostenlose Testversion.

* Stand: 31. März 2025

** Stand: 31. Juli 2023

© Fastly 2025