Zahl des Monats: 46 Mio.

Ein Distributed-Denial-of-Service-Angriff erreichte eine Rekord-Spitze von 46 Millionen Anfragen pro Sekunde. Insgesamt dauerte der Angriff, der im Juni 2022 stattfand und vor zwei Wochen von Google bekannt gemacht wurde, 69 Minuten.

Von Samuel Näf · 30. August 2022

Bei einer Distributed-Denial-of-Service-Attacke, kurz DDoS, wird eine Website oder ein Webservice durch eine Vielzahl von gezielten Anfragen blockiert. In den letzten Wochen und Monaten jagte ein Rekord den anderen. Der jüngste, von Google nun bekannt gemachte Angriff stellt aber alle bisher bekannten in den Schatten.

Stärkste je gemessene DDoS-Attacke

Mit 46 Millionen Anfragen pro Sekunde war der Angriff vom 1. Juni 2022 mindestens 76 % stärker als die bisher grösste bekannte DDoS-Attacke. Gemäss Google sei das, wie wenn sämtliche täglichen Anfragen an Wikipedia – eine der 10 meistbesuchten Websites pro Tag weltweit – innerhalb von 10 Sekunden eingehen würden.

Das hohe Traffic-Volumen ist nicht das einzig bemerkenswerte am Angriff: Der Angriff nutzte verschlüsselte HTTPS-Anfragen, die zusätzliche Rechenleistung erfordern – sowohl auf Seiten der Angreifer als auch bei der Abwehr. Insgesamt trugen 5'256 Quell-IP-Adressen aus 132 Ländern bei. Ungefähr 31 % des Angriffsvolumens kamen aus vier Ländern: Brasilien, Indien, Russland und Indonesien. 22 % der Quell-IPs entsprachen Tor-Exit-Nodes, deren Traffic machte aber nur rund 3 % aus. Google geht davon aus, dass die Beteiligung des Tor-Netzwerks zur Anonymisierung von Verbindungsdaten beim Angriff nur zufällig war und auf die verwendete Methode zurückzuführen ist. Trotz nur 3 % Anteil am Angriffsvolumen (entspricht beim Peak mehr als 1.3 Mio. Anfragen pro Sekunde) zeigt diese Attacke, dass Tor-Exit-Nodes ein signifikantes Volumen an ungewolltem Traffic erzeugen können.

Timeline des Angriffs (Grafik: Google)

Ursprung des Angriffs bleibt unklar

Wie Google weiter mitteilt, weisen die geografische Verteilung sowie der beim Angriff genutzte Typ von ungesicherten Services auf das Mēris-Botnet hin. Dieses ist bekannt für besonders schwere DDoS-Angriffe und nutzt ungesicherte Proxys, um den wahren Ursprung der Angriffe zu verschleiern. Bei Recherchen des DDoS-Spezialisten QRator konnten 30-56'000 Bots des Netzwerks identifiziert werden. Die tatsächliche Anzahl wurde mit rund 250'000 Mēris-Bots aber nochmals deutlich höher geschätzt.

Die DDoS-Attacke wurde von Google Cloud Armor bereits in einem frühen Stadium erkannt. Deshalb konnten bereits vor dem Höhepunkt des Angriffs Schutzmassnahmen ergriffen werden, sodass die Systeme des Google-Kunden ohne Unterbruch verfügbar waren. Ein Grossteil des Angriffs-Traffics wurde dabei bereits am Netzwerkrand unterbrochen.


Der unrühmliche Rekord dieser jüngsten schweren DDoS-Attacke wird aber wohl nur für kurze Zeit Bestand haben.


Mehr Informationen im Blog-Beitrag von Google Cloud zum DDoS-Angriff.