Massiver DDoS-Angriff mit 1,2 Millionen IPs umgeht Rate-Limits

Massive DDoS-Angriffe mit 2,45 Milliarden Anfragen Die rohen Kampagnenmetriken verdeutlichen eine hochgradig koordinierte Operation, die darauf ausgelegt war, unter den statischen Schwellenwerten traditioneller Systeme zu bleiben. Der Angriff erreichte einen Spitzenwert von 205.344 Anfragen pro Sekunde (RPS) und hielt einen durchschnittlichen, anhaltenden Wert 136.000 RPS aufrecht.

Um die pro-IP-Anfragenbegrenzungen zu umgehen, betrug die durchschnittliche Anzahl der Anfragen pro Quelle lediglich eine Anfrage alle neun Sekunden. Diese niedrige Frequenz bedeutete, dass kein einzelner Knoten im Botnetz isoliert als bösartig erschien. Die Verkehrsanalyse zeigte ein deutliches Wellenmuster statt eines konstanten Ansturms. Beobachteter Angriffsverkehr (Quelle: DataDome).

Die menschlichen Operateure oder ihre automatisierten Orchestrierungsebenen schalteten die Angriffsintensität aktiv, um zu testen, welche Anfragemuster der Abschwächung standhalten konnten. Die taktischen Pausen zwischen diesen Wellen ermöglichten es den aggregierten Rate-Limit-Zählern, zurückzusetzen.

Moegliche Anwendungen

Während dieser kurzen Phasen rotierten die Angreifer IP-Adressen, tauschten User Agents aus und variierten die Payloads, um ihren Angriff aufrechtzuerhalten, ohne strukturelle Alarme auszulösen. Die Infrastruktur des Botnetzes war hochgradig fragmentiert und erstreckte sich über 16.402 autonome Systeme (ASNs), was ein außergewöhnliches Maß an Koordination darstellt.

Die Verteilung war bemerkenswert flach; der beitragreichste ASN entfiel lediglich auf drei Prozent des gesamten Angriffsverkehrs. Diese flache Struktur dient als Evasion-Signatur und stellt sicher, dass das Blockieren einer einzelnen ASN die Kampagne nicht wesentlich beeinträchtigt.

Die Bedrohungsakteure mischten absichtlich privatsphärenorientierte Infrastrukturen mit legitimen Cloud-Anbietern, um ihre Aktivitäten zu verschleiern. Zu den für die Anonymisierung geeigneten ASNs gehörten beispielsweise 1337 Services GmbH und die Church of Cyberology, die gemeinsam mit bekannten Namen wie Cloudflare, AWS und Google eingesetzt wurden.

Moegliche Anwendungen

Durch die Weiterleitung des Datenverkehrs über diese großen Cloud-Anbieter vermischten sich die bösartigen Anfragen mühelos mit den enormen Mengen an legitimen Cloud-Ausgangsdaten. Erkennungs- und Abwehrstrategie Die Kampagne spiegelt einen Gegner wider, der in der Lage ist, ein massives, global verteiltes Botnetz zu steuern. Ihre Evasion-Techniken waren jedoch nur mäßig ausgefeilt.

Zwar forgierten die Angreifer Header, Cookies und URL-Parameter, verfügten jedoch nicht über fortgeschrittene Browserautomatisierung oder JavaScript-Fälschungs-Fähigkeiten. Die Client-seitigen Browser-Identifikationssignale des Angreifers wechselten innerhalb einzelner Sitzungen ständig und zeigten damit ein typisches Merkmal automatisierter Werkzeuge, die eine konsistente Identität nicht aufrechterhalten können.

Das Galileo-Team für Bedrohungsrecherche in Echtzeit und blockierte ihn, indem es mehrere Ebenen der Verhaltenserkennung kombinierte. Da statisches Rate-Limiting gegen dynamisch angepasste Volumina wirkungslos bleibt, setzten die Verteidiger auf serverseitiges Fingerprinting, um Inkonsistenzen auf der Netzwerkebene zu erkennen.

Die Verhaltensanalyse identifizierte anomale Sitzungssequenzen, und Bedrohungsinformationen markierten IPs mit negativen Reputationen. Dieser Vorfall verdeutlicht, dass sich DDoS-Taktiken zunehmend auf verteilte Ausweichstrategien ausrichten; die Erkennung muss daher auf verhaltensbasierten Baselines über Zeit und Quellen hinweg operieren, statt Anfragen isoliert zu bewerten. Sie uns auf