Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Free

7,3 Terabit pro Sekunde : Größter DDoS-Angriff aller Zeiten überflutet Hosting-Anbieter

Mitte Mai 2025 gab es den bislang massivsten DDoS-Angriff der Geschichte. Innerhalb von nur 45 Sekunden wurden 37,4 Terabyte Daten auf einen Hosting-Anbieter abgefeuert. Der Angriff nutzt bekannte Schwachstellen, aber in bislang unerreichter Skalierung und Komplexität. Parallel warnt die Sicherheitsforschung vor einer neuen Welle von Erpressung durch DDoS-Botnetze wie RapperBot.

THN/Stefan Mutschler (freier Journalist)Bedrohungen
Lesezeit 3 Min.

Der Angriff traf ein nicht näher benanntes Hosting-Unternehmen und erreichte eine Belastung von 7,3 Terabit pro Sekunde – ein neuer Höchstwert in der Geschichte verteilter Denial-of-Service-Angriffe. Innerhalb von 45 Sekunden wurden dabei 37,4 Terabyte an Datenverkehr generiert, wie Cloudflare-Sicherheitsanalyst Omer Yoachimik erklärte. Die Technik des Unternehmens sorgte dafür, dass der Angriff weitgehend automatisiert abgewehrt werden konnte.

Zum Vergleich: Noch im Januar 2025 meldete Cloudflare eine 5,6-Terabit-Attacke auf einen Internetanbieter in Ostasien. Im April folgte eine 6,5-Terabit-Flut, verursacht durch das Botnetz Eleven11, das aus rund 30.000 kompromittierten Webcams und Videorekordern bestand. Die Mai-Attacke übertrifft beide deutlich – sowohl in Volumen als auch in technischer Raffinesse.

Zielgerichtete Port-Überflutung und verteilte Angriffsvektoren

Der aktuelle Angriff zeichnete sich durch eine besonders aggressive Technik aus: Es wurden durchschnittlich 21.925 Zielports pro Sekunde auf eine einzige IP-Adresse bombardiert – mit einem Spitzenwert von 34.517 Ports pro Sekunde. Diese sogenannte Carpet Bombing-Methode verteilt den Datenstrom über möglichst viele Ports, um Schutzmaßnahmen gezielt zu umgehen.

Die Angriffsform war mehrvektorig, also aus verschiedenen Techniken zusammengesetzt. Darunter:

  • UDP Flood (verantwortlich für 99,996 Prozent des Traffics)
  • QOTD-Reflektion
  • Echo-Reflektion
  • NTP-Reflektion
  • Mirai-basierte UDP-Angriffe
  • Portmap-Flooding
  • RIPv1-Verstärkungsangriffe

Diese Methoden setzen gezielt auf Reflektion und Verstärkung: Kleine Anfragen an offene Dienste führen zu einer Vielzahl größerer Antworten, die dann auf das Zielsystem umgeleitet werden.

Weltweiter Ursprung mit Tausenden kompromittierten Systemen

Der Angriff wurde aus mehr als 122.000 Quell-IP-Adressen gespeist – verteilt auf 5.433 autonome Netzwerke (AS) in 161 Ländern. Die meisten Angriffe kamen aus Brasilien, Vietnam, Taiwan, China, Indonesien, der Ukraine, Ecuador, Thailand, den Vereinigten Staaten und Saudi-Arabien.

Spitzenreiter unter den Angreifern war Telefónica Brazil (AS27699) mit 10,5 Prozent des Datenaufkommens, gefolgt von Viettel Group (AS7552) mit 9,8 Prozent, China Unicom (AS4837) mit 3,9 Prozent, Chunghwa Telecom (AS3462) mit 2,9 Prozent und China Telecom (AS4134) mit 2,8 Prozent.

Anmerkung: Die Abkürzungen in Klammern stehen für sogenannte Autonomous System Numbers (ASNs). Diese sind Teil des technischen Rückgrats des Internets. Die ASN ist eine weltweit eindeutige Kennung, die dazu dient, das Routing zwischen verschiedenen Netzwerken im Internet zu organisieren. Bei DDoS-Angriffen analysieren Sicherheitsfirmen, aus welchen ASNs der Angriffsverkehr stammt, um Muster zu erkennen. So lässt sich besser einschätzen, wo Botnetze operieren und wie sich der Angriff geografisch und technisch zusammensetzt.

Im Sekundentakt wurden im Durchschnitt 26.855 eindeutige Quelladressen registriert – mit einem Spitzenwert von 45.097 gleichzeitig aktiven IPs.

RapperBot: DDoS-Erpressung auf dem Vormarsch

Parallel dazu berichtete das chinesische Sicherheitsunternehmen QiAnXin XLab von einem Angriff auf das KI-Unternehmen DeepSeek im Februar 2025. Verantwortlich war das bekannte DDoS-Botnetz RapperBot, das seit 2022 aktiv ist. Neu ist: Die Malware verlangt inzwischen „Schutzgeld“, um künftige Angriffe zu verhindern – ein klarer Wechsel von bloßem Schadenspotenzial zu gezielter Erpressung.

RapperBot nutzt Schwachstellen in Routern, Netzwerk-Speichern und Videorekordern – insbesondere Standardpasswörter und unsichere Firmware. Die so kompromittierten Geräte kommunizieren über DNS TXT-Einträge mit ihren Kontrollservern. Diese enthalten verschlüsselte Kommandos, die von der Malware interpretiert und ausgeführt werden. Seit März 2025 beobachtete QiAnXin:

  • über 100 neue Angriffsziele pro Tag,
  • mehr als 50.000 aktive Bots gleichzeitig,
  • Angriffe auf Unternehmen aus den Bereichen Verwaltung, Soziale Dienste, Plattformwirtschaft, Fertigung und Finanzwesen.

Die betroffenen Geräte befinden sich verteilt über den ganzen Globus, unter anderem in China, den Vereinigten Staaten, Israel, Mexiko, dem Vereinigten Königreich, Griechenland, Iran, Australien, Malaysia und Thailand.

Angriffe mit neuen Dimensionen – und neuen Absichten

Der DDoS-Angriff mit 7,3 Terabit pro Sekunde ist nicht nur eine technische Machtdemonstration, sondern auch ein Weckruf für Hosting-Provider und Infrastrukturbetreiber weltweit. Die Angreifer kombinieren bewährte Angriffstechniken mit global verteilten Botnetzen und immer neuen Erpressungsmethoden.

Gleichzeitig verdeutlicht die RapperBot-Kampagne, dass DDoS nicht mehr nur Störung, sondern gezielte wirtschaftliche Erpressung bedeutet. Ohne umfassende Schutzkonzepte, die automatisierte Abwehr mit Netzwerksegmentierung, Botnet-Erkennung und Traffic-Analyse kombinieren, sind Unternehmen zunehmend machtlos. Die nächste Angriffswelle kommt bestimmt – schneller, härter und intelligenter.

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.