Cloudflare stoppt Hyper-Volumen-Angriff – was hinter den neuen Gigantenwellen steckt
Ein Distributed-Denial-of-Service-Angriff (DDoS) hat am Montag mit 11,5 Terabit pro Sekunde einen neuen Spitzenwert erreicht – und wurde dennoch automatisiert geblockt. Der Vorfall dauerte rund 35 Sekunden, erreichte gleichzeitig einen Paketdurchsatz von 5,1 Milliarden Paketen pro Sekunde und basierte auf einer massiven UDP-Flood. Cloudflare machte den Rekord zunächst über X öffentlich und sprach zunächst von einer Hauptquelle in der Google-Cloud, relativierte das später aber: Es habe sich um ein Zusammenspiel mehrerer IoT- und Cloud-Provider gehandelt. Für Einordnung: 11,5 Tbps entsprechen rechnerisch über 1,4 TB pro Sekunde – genug, um ungeschützte Infrastrukturen innerhalb von Sekunden in die Knie zu zwingen.
Der Angriff in Zahlen – und warum sie wichtig sind
11,5 Tbps machen diesen Vorfall zum größten bislang öffentlich bekannten volumetrischen DDoS. Entscheidend ist dabei nicht nur die Bruttobandbreite, sondern die Kombination aus Datenrate und Paketintensität: 5,1 Bpps erschöpfen Routing-Tabellen, CPU-Interrupts und Netzwerk-Stacks, bevor die reine Bandbreite zum Flaschenhals wird. Dass die Spitze nur etwa 35 Sekunden anhielt, ist typisch für die seit 2024 beobachteten Hyper-Volumen-„Blitzangriffe“: extrem kurz, extrem hoch, oft als UDP-Flood mit Reflexions-/Amplifikationsmustern. Cloudflare kündigte eine detaillierte technische Nachanalyse an – bis dahin bleiben Ziel und exakte Vektor-Mischung unbekannt.
Wie sich 11,5 Tbps „anfühlen“: von 1,4 TB/s bis 37,4 TB in 45 Sekunden
Terabit-Pro-Sekunde-Zahlen sind abstrakt; griffiger wird es mit Beispielen: Bereits beim vorherigen Rekord im Mai 2025 schaufelten die Angreifer 37,4 Terabyte Daten in nur 45 Sekunden auf eine einzige IP – das entsprach über 9.000 HD-Filmen in weniger als einer Minute. Der neue Peak liegt 57 Prozent darüber. Gemeinsam ist beiden Wellen der Fokus auf UDP, weil dieses verbindungslose Protokoll keinen Handshake erzwingt und sich so als Träger für Floods, Spoofing und Reflexionsangriffe (z. B. via NTP/DNS) eignet.
Die Rekordjagd: 5,6 → 6,5 → 7,3 → 11,5 Tbps in weniger als einem Jahr
Die Kurve zeigt steil nach oben. Ende Oktober 2024 meldete Cloudflare einen Rekord von 5,6 Tbps, getragen von einem Mirai-Ableger mit gut 13.000 kompromittierten IoT-Geräten. Im April 2025 folgte eine Welle mit 6,5 Tbps und 4,8 Bpps, die Cloudflare im Q1-Threat-Report dokumentierte. Mitte Mai wurde der Rekord erneut gebrochen: 7,3 Tbps und 37,4 TB in 45 Sekunden. Jetzt, Anfang September, liegt die neue Spitze bei 11,5 Tbps – nur wenige Wochen nach dem vorherigen Rekord. Diese Taktung illustriert, wie professionell Angreifer Botnet-Bestände, Cloud-Ressourcen und Angriffswerkzeuge kombinieren.
„Aus der Cloud gegen die Cloud“: Korrektur zur Herkunft und was dahintersteckt
Bemerkenswert am aktuellen Fall ist die Debatte um die Quelle. In der Erstmeldung hieß es, der Großteil des Traffics sei aus der Google-Cloud gekommen; kurz darauf präzisierte Cloudflare öffentlich, es habe sich um einen Mix mehrerer IoT- und Cloud-Provider gehandelt. Google entgegnete, die eigenen Abuse-Kontrollen hätten wie vorgesehen gegriffen, die Darstellung einer Mehrheitsquelle sei nicht zutreffend. Das unterstreicht einen Trend: Angriffe nutzen hybride Infrastrukturen, bei denen kompromittierte IoT-Geräte, kurzlebige Cloud-Instanzen und reflektierende Dienste gleichzeitig feuern – ein forensischer Albtraum, der schnelle Attribution erschwert und Missbrauchs-Teams großer Provider vor operative und kommunikative Herausforderungen stellt.
Die Zahlen hinter der Welle: DDoS-Volumen explodiert 2025
Die 11,5 Tbps sind kein Ausreißer, sondern die Spitze einer breit wachsenden Aktivität. Bereits im ersten Halbjahr 2025 zählte Cloudflare 27,8 Millionen abgewehrte DDoS-Attacken – mehr als im gesamten Jahr 2024. Die Q1-Analyse sprach von einem Plus von 358 Prozent bei Hyper-Volumen-Angriffen und davon, dass Attacken >1 Tbps oder >1 Bpps vom Exoten zum Tagesgeschäft werden. Die Täter professionalisieren ihre Logistik, mieten Botnet-Kapazitäten „as a Service“, rotieren kompromittierte IoT-Geräte und orchestrieren kurzlebige Instanzen bei mehreren Cloud-Anbietern, um Blocklisten und Missbrauchs-Controls auszuhebeln. Ergebnis: kurze, brutale Peaks, die klassische On-Prem-Abwehr überfordern und selbst große CDNs und Scrubbing-Netze fordern.
Warum UDP-Floods dominieren – und was Bpps gegenüber Tbps aussagen
UDP-Floods sind das Schweizer Taschenmesser volumetrischer DDoS-Kampagnen: verbindungslos, leicht spoofbar, reflexionsfähig und mit passenden Amplifikationszielen jederzeit skalierbar. Während Tbps-Werte die Rohbandbreite angeben, entscheidet die Paketdichte (Bpps) oft darüber, ob ein Ziel tatsächlich ausfällt – millionen- bis milliardenfache, kleinteilige Paketlawinen verursachen überproportional viele Interrupts, überlaufen Hardware-Queues und zwingen Router/Firewalls in „Slow Path“-Verarbeitung. Genau diese Mischung – sehr hohe Bpps gepaart mit hoher Tbps-Spitze – sah man beim April-, Mai- und September-Angriff. Ein wirksames Gegenmittel ist Anycast-basierte, weltweit verteilte Absorption mit frühem Rate-Limiting und Protokoll-Härten an den Rändern des Netzes statt im Rechenzentrum.
Wer war das Ziel? Was wir wissen – und was nicht
Cloudflare hat bislang kein Ziel benannt; bei früheren Rekorden traf es häufiger Hosting-Provider oder kritische Netzinfrastruktur. Die Ankündigung eines ausführlichen Berichts deutet darauf hin, dass Herkunftsverteilung, Vektormischung und Telemetrie noch ausgewertet werden. Solange diese Details fehlen, bleibt auch offen, ob die 11,5 Tbps aus einem einzelnen Vektor oder einem Stapel paralleler Floods resultierten und in welchem Maße Reflexion/Amplifikation beteiligt war.
Lehren für Betreiber: Design für den Peak, nicht für den Durchschnitt
Unternehmen und Provider, die sich auf durchschnittliche Lastprofile verlassen, werden von 30- bis 60-Sekunden-Peaks überrascht. Resilienz beginnt deshalb mit Netzarchitektur: Anycast-fähige Präsenz bei einem großen Scrubbing-Netz (oder eigenem, ausreichend dimensionierten) vorhalten; „Always-On“ statt „On-Demand“ wählen, zumindest für exponierte Dienste; saubere Trennung von Steuer- und Datenebenen; Edge-seitiges, zustandsloses Filtern (z. B. stateless ACLs, eBPF/XDP-Filter) vor zustandsbehafteten Firewalls; dedizierte Rate-Limits für UDP-Schwergewichte wie DNS/NTP/QUIC; strenge Spoofing-Prävention mit BCP 38/Ingress-Filtern; Telemetrie in Echtzeit (Flow-Logs, sFlow, NetFlow, Packet-Capture an „Chokepoints“) und geübte Runbooks für Blackholing/Remotetriggered Blackhole (RTBH) sowie für das schnelle Verschieben von IP-Räumen; regelmäßige DDoS-Drills unter Last; Cloud-Konten „härten“, um missbrauchte Instanzen zu erkennen und automatisiert zu terminieren. Ergänzend gehört eine Anwendungsebene-Strategie (WAF, Bot-Management, HTTP/2-Sonderfälle), doch gegen 10-Tbps-Peaks entscheidet die Netzwerkebene.
Rechtliche und operative Dimension: Missbrauch in Public Clouds schneller eindämmen
Der Fall zeigt, wie wichtig reibungslose Abuse-Prozesse zwischen großen Infrastrukturanbietern sind. Clouds verfügen über Sichtbarkeit und Steuerungsmittel, um missbräuchliche Workloads schnell abzuschalten, müssen dafür aber präzise Hinweise erhalten. Gleichzeitig ist Transparenz heikel: Falsch zugeordnete Verantwortung kann zu vorschnellen Narrativen führen – wie die zügige Korrektur im aktuellen Fall illustriert. Mittelständische Betreiber profitieren von klaren Playbooks: Wo und wie melde ich volumetrische Angriffe? Welche Belege (Flows, Header, Zeitfenster) erhöhren die Chance, dass Missbrauchsteams schnell handeln? Solche Prozesse entscheiden, ob Angriffe Minuten oder Stunden dauern.
Ausblick: Die 12-Tbps-Marke wird fallen – die Verteidigung muss vorausplanen
Die Rekordfolge der letzten Monate lässt wenig Zweifel: Die 12-Tbps-Marke ist nur eine Frage der Zeit. Botnet-Betreiber professionalisieren die Ressourcenzufuhr, Reflexionsflächen bleiben reichlich vorhanden, und Cloud-Kapazitäten sind binnen Sekunden anmietbar. Für Verteidiger bedeutet das: Kapazität ist notwendig, aber nicht hinreichend; entscheidend sind Automatisierung, Telemetrie, weltweit verteilte Absorption und robuste Protokoll-Härten. Wer seine Architektur heute auf kurze, extreme Peaks auslegt, wird morgen weniger Schaden sehen – selbst wenn der nächste Rekord schon anklopft.
Letzte Aktualisierung am 1.09.2025 / Affiliate Links / Bilder von der Amazon Product Advertising API. Alle hier angezeigten Preise und Verfügbarkeiten gelten zum angegebenen Zeitpunkt der Einbindung und können sich jederzeit ändern. Der Preis und die Verfügbarkeit, die zum Kaufzeitpunkt auf Amazon.de angezeigt werden, sind maßgeblich. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.
Linkliste (Quellen)
- heise online (DE): Überlastungsattacke erreicht 11,5 TBit/s
- heise online (EN): Overload attack reaches 11,5 TBit/s
- Cloudflare auf X: Meldung zum 11,5-Tbps-Angriff
- Cloudflare auf X: Korrektur zur Herkunft (IoT + mehrere Clouds)
- SecurityWeek: Cloudflare Blocks Record-Breaking 11.5 Tbps DDoS Attack
- BleepingComputer: Cloudflare blocks largest recorded 11.5 Tbps DDoS
- The Hacker News: Cloudflare Blocks Record-Breaking 11.5 Tbps
- Tom’s Hardware: 11,5-Tbps-DDoS – Update/Einordnung
- Cloudflare Blog: 7,3-Tbps-Analyse (Juni 2025)
- Cloudflare DDoS Threat Report Q1 2025
- Cloudflare DDoS Threat Report Q2 2025
- BleepingComputer: 5,6-Tbps-Rekord (Jan 2025, Mirai)
- The Hacker News: 7,3-Tbps-Angriff (Juni 2025)
- Tom’s Hardware: 37,4 TB in 45 s bei 7,3 Tbps
- Cloudflare Learning Center: Famous DDoS Attacks (Hintergrund)
Über den Autor
