Berüchtigte DDos-Angriffe | Die bedeutendsten DDoS-Angriffe aller Zeiten

Bei einem DDoS (Distributed Denial-of-Service)-Angriff wird durch eine Flut von Anfragen verschiedener Geräte gezielt die Überlastung eines Servers und damit der Ausfall von Webanwendungen herbeigeführt. Einige der größten DDoS-Angriffe haben in der Tech-Branche für Aufsehen gesorgt.

Berüchtigte DDoS-Angriffe Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Das Ausmaß der bedeutendsten DDoS-Angriffe beschreiben
  • Die Beweggründe hinter einigen der berüchtigsten Cyberangriffe verstehen
  • Einige der bislang wichtigsten DDoS-Angriffe erklären

Link zum Artikel kopieren

Welcher war der bedeutendste DDoS-Angriff aller Zeiten?

Der bislang größte DDoS-Angriff fand im September 2017 statt. Er richtete sich gegen Google-Dienste und erreichte eine Größe von 2,54 Tbit/s. Im Oktober 2020 machte Google Cloud den Vorfall publik.

Die Angreifer haben Spoofing-Pakete an 180.000 Webserver gesendet, die ihrerseits Antworten an Google übermittelt haben. Es handelte sich nicht um einen Einzelfall: Die Angreifer hatten in den vorangegangenen sechs Monaten bereits mehrere DDoS-Attacken auf die Infrastruktur von Google verübt.

Weitere berüchtigte DDoS-Angriffe

AWS – Februar 2020

AWS berichtete, dass im Februar 2020 ein massiver DDoS-Angriff abgewehrt wurde. Zu Spitzenzeiten erreichte der eingehende Traffic 1,3 Terabit pro Sekunde (Tbit/s). Welcher Kunde von dem Angriff betroffen war, teilte das Unternehmen nicht mit.

Die Angreifer setzten gekaperte CLDAP (Connectionless Lightweight Directory Access Protocol)-Webserver ein. Bei CLDAP handelt es sich um ein Protokoll für Benutzerverzeichnisse. Es stellt eine Alternative zu der älteren Protokollversion LDAP dar. In den vergangenen Jahren ist CLDAP bei zahlreichen DDoS-Angriffen zum Einsatz gekommen.

GitHub – Februar 2018

Einer der größten jemals verzeichneten und überprüfbaren DDoS-Angriffe richtete sich gegen GitHub, einen beliebten Onlinecode-Management-Dienst, der von Millionen von Entwicklern genutzt wird. Der Angriff erreichte 1,3 Tbit/s, wobei 126,9 Millionen Pakete pro Sekunde versandt wurden.

Die Attacke auf GitHub erfolgte in Form eines Memcached-DDoS-Angriffs, weshalb keine Botnetze beteiligt waren. Stattdessen nutzten die Angreifer den Verstärkungseffekt eines beliebten Datenbank-Cache-Systems namens Memcached. Durch die Überflutung von Memcached-Servern mit Spoofing-Anfragen konnte der Angriff etwa um das 50.000-Fache verstärkt werden.

Glücklicherweise benutzte GitHub einen DDoS-Schutzdienst, der innerhalb von zehn Minuten nach Beginn des Angriffs automatisch benachrichtigt wurde. Diese Warnung löste einen Abwehrprozess aus, sodass GitHub den Angriff schnell stoppen konnte. Letztlich dauerte die großangelegte Attacke deshalb nur rund 20 Minuten.

2016: Dyn

Ein weiterer DDoS-Großangriff richtete sich im Oktober 2016 gegen den wichtigen DNS-Anbieter Dyn. Die Attacke war verheerend und verursachte Störungen bei vielen wichtigen Websites wie AirBnB, Netflix, PayPal, Visa, Amazon, The New York Times, Reddit und GitHub. Dabei kam eine Malware namens Mirai zum Einsatz. Diese schafft ein Botnetz aus kompromittierten Geräten im Internet der Dinge (Internet of Things – IoT) wie Kameras, Smart TVs, Radios, Druckern und sogar Babyphones. Um den Angriffs-Traffic zu erzeugen, werden diese Bots so programmiert, dass sie alle Anfragen an das gleiche Ziel senden.

Glücklicherweise konnte Dyn den Angriff innerhalb eines Tages in den Griff bekommen, aber die dahinterstehenden Motive konnten nie in Erfahrung gebracht werden. Aktivistische Hackergruppen bekannten sich zu dem Angriff und führten als Grund an, dass WikiLeaks-Gründer Julian Assange in Ecuador der Internetzugang verweigert wurde. Beweise dafür fanden sich jedoch nicht. Es besteht auch der Verdacht, dass der Angriff von einem verärgerten Gamer durchgeführt worden sein könnte.

2015: GitHub

Dieser DDoS-Angriff, damals der bedeutendste aller Zeiten, richtete sich ebenfalls gegen GitHub und war politisch motiviert. Er dauerte mehrere Tage und passte sich an die eingesetzten DDoS-Abwehrstrategien an. Der DDoS-Traffic kam aus China und nahm gezielt die URLs von zwei GitHub-Projekten ins Visier, die sich mit Möglichkeiten zur Umgehung der chinesischen Staatszensur befassten. Es wird spekuliert, dass GitHub durch den Angriff dazu gebracht werden sollte, diese Vorhaben einzustellen.

Der Angriffs-Traffic wurde durch das Einfügen von JavaScript-Code in die Browser aller Besucher der beliebtesten chinesischen Suchmaschine Baidu erzeugt. Andere Websites, die die Analysedienste von Baidu nutzten, speisten den Schadcode ebenfalls ein. Anschließend veranlasste dieser die infizierten Browser, HTTP-Anfragen an die anvisierten GitHub-Seiten zu senden. Im Nachhinein wurde festgestellt, dass der bösartige Code nicht von Baidu stammte, sondern von einem Zwischendienst hinzugefügt wurde.

2013: Spamhaus

Ein weiterer Angriff, der zu seiner Zeit jeden Rahmen sprengte, wurde im Jahr 2013 auf Spamhaus verübt. Das Unternehmen wirkt bei der Bekämpfung von Spam-E-Mails und spambezogenen Aktivitäten mit und ist für die Filterung von bis zu 80 % aller Spam-Mails verantwortlich. Das macht die Firma zu einem beliebten Ziel für Akteure, die Interesse daran haben, dass Spam-Mails ihre vorgesehenen Empfänger erreichen.

Im Rahmen des Angriffs ging bei Spamhaus ein Trafficvolumen von 300 Gbit/s Traffic ein. Das Unternehmen wandte sich an uns und konnte den Angriff schließlich mit dem DDoS-Schutz von Cloudflare abwehren. Die Angreifer reagierten darauf, indem sie bestimmte Netzknoten und Bandbreitenanbieter ins Visier nahmen, um Cloudflare zu Fall zu bringen. Dieser Angriff verfehlte zwar sein Ziel, verursachte jedoch für den Londoner Internetknoten LINX große Probleme. Als Hauptschuldiger entpuppte sich ein jugendlicher Auftragshacker in Großbritannien, der für die Durchführung des DDoS-Angriffs bezahlt worden war.

Näheres zu diesem Angriff und darüber, wie er abgewehrt wurde, erfahren Sie im Cloudflare Blog.

2000: Angriff durch Mafiaboy

Im Jahr 2000 legte ein 15-jähriger Hacker mit dem Pseudonym „Mafiaboy“ mehrere große Websites lahm, darunter CNN, Dell, E-Trade, eBay sowie Yahoo, die damals beliebteste Suchmaschine der Welt. Dieser Angriff hatte verheerende Folgen und führte unter anderem zu Chaos an der Börse.

Mafiaboy, der sich später als der Highschool-Schüler Michael Calce herausstellte, koordinierte den Angriff, indem er sich in die Netzwerke mehrerer Universitäten hackte und ihre Server nutzte, um den DDoS-Angriff auszuführen. Im Anschluss an diesen Vorfall wurden viele der heutigen Gesetze gegen Cyberkriminalität geschaffen.

2007: Estland

Im April 2007 war Estland mit einem massiven DDoS-Angriff auf Regierungsdienste, Finanzinstitute und Medien konfrontiert. Die Auswirkungen waren fatal, da die estnische Regierung früh begonnen hatte, Online-Dienste anzubieten und zu diesem Zeitpunkt praktisch papierlos funktionierte; selbst Wahlen wurden in dem baltischen Staat online durchgeführt.

Der Angriff, der von vielen als erster Akt der Cyber-Kriegsführung angesehen wird, war die Reaktion auf einen politischen Konflikt mit Russland bezüglich der Umsiedlung des „Bronzesoldaten von Tallinn“, einem Denkmal des Zweiten Weltkriegs. Die russische Regierung steht im Verdacht, daran beteiligt gewesen zu sein, und ein estnischer Staatsangehöriger aus Russland wurde daraufhin verhaftet. Moskau erlaubte es den estnischen Strafverfolgungsbehörden jedoch nicht, weitere Ermittlungen in Russland durchzuführen. Diese Affäre hatte zur Folge, dass internationale Gesetze gegen Cyberkriminalität geschaffen wurden.

Sind Anbieter von DDoS-Schutzlösungen Angriffen dieser Größenordnung gewachsen?

Das hängt von ihrer Netzwerkkapazität ab, denn diese bestimmt darüber, ob sie die durch den DDoS-Angriff erzeugte Datenverkehrsflut bewältigen und dabei ihre Services aufrechterhalten können. Heute reichen die Netzwerkkapazitäten von vielen dieser Provider dafür aus.

Der gemessen am Volumen umfangreichste jemals von Cloudflare abgewehrte DDoS-Angriff hatte eine Größenordnung von 942 Gbps, doch unsere verfügbare Netzwerkkapazität von 67 Tbps übertrifft den Umfang der massivsten jemals verzeichneten Attacken bei Weitem. Cloudflare ist auch DDoS-Angriffen mit extrem hohen Paketraten Herr geworden. So konnten wir im Juni 2020 einen DDoS-Angriff mit 754 Millionen Paketen pro Sekunde abwehren.

Man muss sich vor Augen halten, dass die überwiegende Zahl der DDoS-Angriffe nicht die Dimensionen der hier beschriebenen Attacken aufweist. Laut Nachforschungen von Cloudflare werden bei den meisten DDoS-Angriffen 10 Gbit/s nicht überschritten. Doch selbst diese kleineren DDoS-Angriffe können dafür sorgen, dass Websites oder Anwendungen über einen längeren Zeitraum offline sind, wenn keine DDoS-Abwehr vorhanden ist.