DDoS im August

Der exklusive monatliche DDoS-Wetterbericht von Fastly für August 2025 zeigt, dass Hyperscale-Clouds bei 70 % der damit verbundenen Angriffe das Quellnetzwerk sind.

Das sofortige globale Netzwerk von Fastly hat Billionen von versuchten DDoS-Angriffen auf den Layern 3 und 4 gestoppt. Allerdings sind raffinierte neue Layer-7-Angriffe schwerer zu erkennen und potenziell weitaus gefährlicher. Diese erhebliche Bedrohung für die Performance und Verfügbarkeit jeder internetbasierten App oder API setzt Nutzer und Organisationen einem Risiko aus. Fastly nutzt Telemetriedaten aus unserem globalen 427-Terabit-pro-Sekunde-Edge-Netzwerk*, das 1,8 Billionen Anfragen pro Tag** bedient, und Fastly DDoS-Schutz, um eine einzigartige Reihe von Einblicken in das globale „DDoS-Wetter“ für Anwendungen zu gewinnen – der einzige monatliche Bericht dieser Art. Nutzen Sie anonymisierte Daten, Einblicke und umsetzbare Ratschläge zu den neuesten DDoS-Trends bei Apps, um Ihre Sicherheitsinitiativen zu stärken.

Wichtigste Erkenntnisse:

• Der 1. August war der drittgrößte Tag des Angriffsvolumens seit Anfang 2025

• Das mittlere Angriffsvolumen ist in Medien und Unterhaltung (M&E) am höchsten, gefolgt vom öffentlichen Sektor und dem Bildungswesen.

• Angriffe, die auf eine ASN isoliert sind, werden in 70 % der Fälle am häufigsten mit Hyperscale-Clouds in Verbindung gebracht

Traffic Trends im August

Da sich der Sommer (für diejenigen von uns auf der Nordhalbkugel) dem Ende zuneigt, begann der August mit einem Anstieg des Angriffs-Traffic, gefolgt von den darauffolgenden Tagen mit durchweg deutlich geringerem Volumen (Bild 1).

Beim Vergleich des durchschnittlichen Monatsvolumens mit dem gesamten täglichen Volumen wird deutlich, wie viel Einfluss ein einzelner Ausreißer wie der 1^. auf den Rest des Monats haben kann. Alles in allem war der August eine Rückkehr näher an die etablierte Trendlinie des durchschnittlichen Angriffsvolumens pro Monat (Abbildung 2).

Obwohl wir nicht über dem Trend der Monate April, Mai und Juni liegen, bewegen wir uns auf die Ferienzeit zu, die traditionell höhere Traffic-Volumina aufweist. Wir werden weiterhin überwachen, wie sich diese Daten in den kommenden Monaten ändern, und Updates in zukünftigen Ausgaben bereitstellen.

Vergleicht man den August mit allen bisherigen Tagen dieses Jahres, sticht der 1. August eindeutig als der drittgrößte Anstieg des beobachteten Angriffs-Traffic hervor (Bild 3).

Obwohl das Volumen nur 42 % des größten Angriffs dieses Jahres betrug, wurden am 1. August innerhalb eines 24-Stunden-Zeitraums (UTC) immer noch mehrere zehn Milliarden Anforderungen registriert. Ähnlich wie bei den anderen größten Angriffen des Jahres ist der Anstieg in erster Linie auf Angriffe auf einen einzelnen Kunden zurückzuführen. Während der Anstieg im Juni auf ein Enterprise im Hochtechnologiebereich abzielte, richtete sich dieser auf ein Enterprise im Bereich Medien und Unterhaltung.

Angriffstrends

Im August wurden fast 73.000 Angriffe registriert, was auf etwa 1,7 Angriffe pro Minute an jedem Tag hinausläuft. Dies entspricht dem, was wir in den vergangenen Monaten gesehen haben, oder ist etwas höher, da der August 31 Tage hat, während andere Monate nur 30 oder weniger haben. Jeden Monat untersuchen wir Angriffe aus der Perspektive, wer angegriffen wurde, und diesen Monat beginnen wir mit einem Blick auf die Größe der Unternehmen, die im August angegriffen wurden. Diejenigen, die mit diesen Berichten noch nicht vertraut sind, sollten wissen, dass wir die Unternehmensgröße nach Jahresumsatz aufschlüsseln:

• Großunternehmen: Mehr als 1 Milliarde Dollar

• Kommerziell: Zwischen 100 Millionen und 1 Milliarde Dollar

• Kleine und mittelständische Unternehmen (KMU): Weniger als 100 Millionen Dollar

Normalerweise verwenden wir das Gesamtvolumen, um einen uneingeschränkten Einblick in die Angegriffenen zu erhalten; jedoch verzerrt selbst ein einziger massiver Angriff die Darstellung der Daten drastisch. Für [REDACTED] & Spaß, schauen Sie sich an, wie das Gesamtvolumen im August im Verhältnis zur Unternehmensgröße aussieht (Abbildung 4).

Im Gegensatz dazu erzählt das Median-Angriffsvolumen eine völlig andere Geschichte (Bild 5).

Die massiven Angriffe werden in dieser Ansicht komplett negiert, was zeigt, dass kommerzielle Organisationen tatsächlich das größte mediane Angriffsvolumen erhalten. Diese Dynamik dient als Erinnerung daran, Schlagzeilen, die Sie lesen, mit Vorsicht zu genießen; während es einfach wäre zu sagen, dass 91 % des Angriffsvolumens im August auf Enterprise entfielen, und das wäre faktisch korrekt, ist die Realität nuancierter (und wird oft übersehen).

In den meisten Ausgaben stellen wir auch das Gesamtvolumen im Vergleich zu den Branchen dar, auf die sie abzielen, aber in diesem Monat erkunden wir eine neue Ansicht des Medianvolumens pro Branche. Dabei beseitigen wir einen Großteil der natürlichen Voreingenommenheit unserer Kundenbasis und stellen fest, dass viele der Branchen, die wir häufig in der Tabelle sehen, wie Handel und Hochtechnologie, tatsächlich eine kleinere mittlere Angriffsgröße aufweisen als Branchen wie der öffentliche Sektor und das Bildungswesen, die beim höchsten mittleren Volumen den zweiten und dritten Platz belegen (Abbildung 6).

Wir werden diese Daten weiterhin überwachen, um festzustellen, ob es sich um einen beständigen Trend oder nur um eine Abweichung für den Monat handelt. Ein konsistenter Trend hier könnte entweder auf ausgeklügelte, gezielte Kampagnen oder auf die Arbeit von hartnäckigen, weniger qualifizierten Akteuren hindeuten. Unabhängig davon werden wir Sie auf dem Post halten. Dass Medien und Unterhaltung das mittlere Volumen anführen, ist am wenigsten überraschend, da sie in der Regel den größten Anteil am Gesamtvolumen dieser Berichte ausmachen, wahrscheinlich aufgrund der kontroversen oder aktuellen Inhalte, deren Berichterstattung Angreifer beeinflussen oder entmutigen möchten.

Trends zur Abwehr

Beim Übergang zu den Arten von Attributen, die in den von Fastly DDoS Protection automatisch generierten Regeln enthalten sind, um unsere Kunden zu schützen, haben wir uns in diesem Monat IPs und ASNs angesehen. Für diejenigen, die damit nicht so vertraut sind: Eine IP- oder Internetprotokolladresse ist eine eindeutige Kennung für ein Gerät wie Ihren Heim-Router, und eine ASN oder Autonome Systemnummer ist eine eindeutige Kennung für ein ganzes Netzwerk. Sie können sich diese wie eine einzelne Telefonnummer vorstellen, im Gegensatz zu Ihrem Telekommunikations-Anbieter, der einen ganzen Block von Telefonnummern besitzt und verwaltet. Beide können verwendet werden, um einen Angriff vom legitimen Traffic zu trennen, und diesen Monat haben wir uns angesehen, was passiert, wenn sie Teil einer Regel sind. 

In den Regeln für August verwendete IPs

Eine einzige IP wurde im August in 42 % der Regeln gefunden. Wenn wir uns in diesen Abschnitt vertiefen, ist es wichtig zu beachten, dass ein einzelner Angriff oft mehrere Regeln erfordert, um vollständig abgewehrt zu werden. Während eine Regel eine einzelne IP nutzen kann, gibt es zahlreiche Fälle, in denen andere Regeln entweder zusätzliche IPs einbringen oder den Angriffs-Traffic auf andere Weise trennen müssen. Im Wesentlichen bedeutet dies nicht, dass 42 % der Zeit ein Angriff vollständig von einer einzigen IP-Adresse ausgeht, sondern nur, dass ein ausreichender Teil davon vorhanden war, um einen Teil des Angriffs abzuschneiden.

Bei genauerer Betrachtung der IPs stellen wir fest, dass viele von ihnen nur an einem oder wenigen Angriffen beteiligt waren und danach nie wieder auftauchten (Bild 7).

Während wir versuchen, tiefer zu ergründen, was hier vor sich geht, ob die überwiegende Mehrheit dieser Angriffe aus einem lokalen Netzwerk stammt (was auf Botnet-Aktivitäten hindeuten könnte) oder aus der Cloud oder von Hyperscalern kommt (was darauf hindeuten könnte, dass serverlose Umgebungen überall auf der Welt problemlos eingerichtet werden können), deuten diese Daten auf die verteilte Natur vieler DDoS-Angriffe im August hin. Es verleiht auch dem 'Whack-a-Mole'-Spiel, dem viele Sicherheitsteams gegenüberstehen, Glaubwürdigkeit, bei dem sie eine IP-Adresse daran hindern, anzugreifen, nur damit gleich darauf eine andere folgt.

Wenn wir den verteilten Datensatz umdrehen und die IP-Adresse betrachten, die mit den meisten DDoS-Angriffen in Verbindung steht, stellen wir fest, dass die am meisten auffällige IP-Adresse im August an 184 einzigartigen Angriffen auf 59 Kunden beteiligt war, hauptsächlich in den Branchen Medien und Unterhaltung und Hochtechnologie. Wenn wir einen Blick über die Grenzen von Fastly werfen, wird dieselbe IP mit 17 Missbrauchsberichten (auf Websites wie AbuseIPDB) in Verbindung gebracht, die nicht nur DDoS-Angriffe, sondern auch Angriffe im OWASP-Stil umfassen. Interessanterweise begannen die Berichte über Missbrauch durch Dritte erst im August, und wir konnten auch im Juli keine entsprechenden Regeln finden, was auf die Kurzlebigkeit der IPs hinweisen könnte, die für weit verbreitete Angriffe verwendet werden.

In Regeln verwendete ASNs

Manchmal kann ein Angriff nicht einer einzelnen IP-Adresse, sondern einer Vielzahl von IP-Adressen aus einem einzigen Netzwerk zugeschrieben werden. Im August enthalten 66 % der Regeln einen einzigen ASN als Teil ihrer vielen Attribute. Ähnlich wie bei den IPs wird ein einzelner ASN normalerweise nicht in mehr als 10 Regeln gefunden, wobei die überwiegende Mehrheit der Regeln im August einen einzigartigen ASN aufweist. Wenn wir jedoch die zehn am häufigsten in Regeln verwendeten ASNs betrachten, erkennen wir ein Muster: Hyperscale-Cloud-Anbieter sind in 71 % der damit verbundenen Angriffe die ASN.

Ähnlich wie bei unserer Feststellung, dass IPs kurzlebig sind, könnte diese Erkenntnis einen weiteren Korrelationspunkt bieten, da Hyperscale-Clouds oft eine niedrigere Einstiegshürde für das Einrichten einer serverlosen Umgebung haben als traditionellere Hosting-/VPS- oder sogar Content-Plattform.

Umsetzbare Handlungsempfehlungen

Was sollten Sie also aus all diesen Informationen mitnehmen?

1. Organisationen, die im Medien- und Unterhaltungsbereich tätig sind, erhalten weiterhin den höchsten Anteil am gesamten und medianen Angriffsvolumen. Wenn Ihr Unternehmen in diesem Bereich tätig ist, empfehlen wir Ihnen dringend, einen App DDoS protection in Betracht zu ziehen, falls Sie dies noch nicht getan haben.

2. Wenn Ihre manuellen Abwehrkriterien stark auf IPs basieren, sollten Sie in Betracht ziehen, ob dieser Aufwand durch automatisierte Lösungen oder Regeln ersetzt werden kann, die ASN mit zusätzlichen Attributen einbeziehen, um die Genauigkeit zu erhöhen. Angesichts der Vielzahl eindeutiger IPs, die bei Angriffen verwendet werden, sollte dies nur in Regeln für die schwerwiegendsten Täter verwendet werden. 

3. Enterprise sollten sicherstellen, dass ihre Infrastruktur oder ihre Tools Angriffe in der Größenordnung von mehreren zehn Milliarden Anforderungen über kurze Zeiträume abfangen (und im Idealfall abwehren) können. Jeder der größten Angriffe dieses Jahres konnte auf Millionen von Anforderungen pro Sekunde skaliert werden, weit mehr als manche ohne Performance-Einbußen bewältigen können.

Automatische Abwehr disruptiver und verteilter Angriffe

Wie im August gezeigt wurde, kann ein einzelner massiver Angriff jede Branche treffen, von Medien und Unterhaltung bis hin zur Hochtechnologie, während kleinere, anhaltende Angriffe kommerzielle Unternehmen täglich plagen. Fastly DDoS Protection ist für diese Realität konzipiert und mildert die in diesem Bericht beschriebenen verteilten, mehrstufigen Angriffe automatisch ab. Lassen Sie unsere adaptive Technologie den nächsten Anstieg abfangen, damit Sie es nicht tun müssen. Kontaktieren Sie unser Team oder starten Sie noch heute Ihre kostenlose Testversion.

* Stand: 31. März 2025

** Stand: 31. Juli 2023