Die These, dass Cyberkriminelle versuchen, vorhandenen Schutzmaßnahmen durch die Entwicklung stetig modifizierter und leistungsfähigerer DDoS-Angriffsvektoren und Methoden immer einen Schritt voraus zu sein, bestätigt sich jedes Jahr aufs Neue. Während Security-Lösungen immer präziser und effektiver arbeiten, schaffen sich Angreifer immer neue Wege, um diese Abwehr möglichst zu umgehen.
2022 bildeten TCP-Flooding-Angriffe (ACK, SYN, RST) den am häufigsten verwendeten DDoS-Angriffsvektor.
(Bild: tiero - stock.adobe.com)
Die geopolitischen Spannungen haben im ersten Halbjahr 2022 zu verstärkten Angriffsaktivitäten der Cyberkriminellen geführt. Insgesamt wurden weltweit mehr als sechs Millionen DDoS-Angriffe protokolliert. Für diese weist der Netscout Threat Intelligence Report gegenüber dem vorangegangenen Halbjahr eine Steigerung der genutzten maximalen Bandbreite um 57 Prozent und des Datendurchsatzes um 37 Prozent aus. Viel Arbeit also für die Security-Abteilungen, die gehalten sind, ihren Fokus regelmäßig neu auszurichten, um ihre Abwehrmaßnahmen zu modifizieren.
Reflexion und Verstärkung
Reflection/Amplification-Attacken bilden quasi des kleine 1x1 aktueller DDoS-Angriffsvektoren. Bei der DDoS-Reflection wird Antwort eines Services auf die IP-Zieladresse gelenkt, beliebte Reflektoren sind dabei DNS-, NTP- oder CLDAP-Server. Durch die DDoS-Amplification wird dann erreicht, dass Antwort-Pakete an gespoofte Absender deutlich größer als die Anfragen ausfallen. Diese Art des Angriffs erfolgt meist über UDP-basierte Services ohne Authentifizierung. Einige TCP-Dienste lassen sich ebenfalls für diesen Zweck verwenden, was jedoch für Angreifer aufwendiger ist.
Bildergalerie
Neue DDoS-Vektoren werden von Angreifern zunächst stark genutzt, bis die Zahl der potenziellen Reflektoren aufgrund eingespielter Patches auf den kompromittierten Geräten und Services abnimmt. Dies war der Fall bei Memcached, wo anfänglich große Angriffe mit Zehntausenden von Geräten durchgeführt wurden. Und auch beim jüngsten TP240 PhoneHome-Vektor, der mit einem Verhältnis von 4.294.967.296:1 den größten jemals verzeichneten Amplification-Faktor aufweist, war dies der Fall.
Beliebtes Flooding
Einem Trend folgend, der Anfang 2021 begann, bilden aktuell allerdings TCP-Flooding-Angriffe (ACK, SYN, RST) den am häufigsten verwendeten Angriffsvektor. Sie kamen im ersten Halbjahr 2022 bei rund 46 Prozent aller Attacken zum Einsatz. Hinzu kommen ICMP-Flooding-Angriffe (9 Prozent aller Angriffe).
Damit verlieren die fast schon traditionellen Reflection/Amplification-Attacken mit ihren 45 Prozent ihre Spitzenposition als meistverwendete Angriffsmethode. Weiter spezifiziert kommt dabei bei 11 Prozent aller Reflection/Amplification-Angriffe die DNS Amplification zum Einsatz - mit sinkender Tendenz: Im Vergleich vom zweiten Halbjahr 2021 mit dem ersten Halbjahr 2022 kam es zum Rückgang der DNS-Amplification-Angriffe um fast 50 Prozent. Auf den Plätzen folgt die TCP-Amplification (TCP SYN/ACK) mit 10 Prozent und die NTP- Amplification mit 5 Prozent. Die restlichen 19 Prozent verteilen sich auf exotischere Reflection/Amplification-Vektoren, wobei sich diese interessanterweise nicht in der Angebotspalette der kriminellen DDoS-Booter/IP-Stresser-Services finden.
Betrachtet man die Häufigkeit missbräuchlich verwendeter Protokolle, ergibt sich diese Reihenfolge: SIP (4,1 Millionen), NTP (2,5 Millionen) und TFTP (2,2 Millionen). DNS-Reflektoren dagegen liegen mit 1,4 Millionen noch hinter L2TP und rpcbind lediglich an sechster Stelle; vor zwei Jahren waren es noch mehr als 2,3 Millionen. Dieser Rückgang lässt sich unter anderem durch die zunehmende Implementierung von Services zur Quelladressenvalidierung (SAV) erklären.
Flächenangriffe legen wieder zu
Wenn Angreifer nicht ein einzelnes Ziel oder einen einzelnen Host ins Visier nehmen, sondern ihre Angriffe über ganze Subnetze oder CIDR-Blöcke (Classless Inter-Domain Routing) ausbreiten, spricht man von Carpet Bombing. Da sich viele DDoS-Abwehrsysteme auf einzelne IP-Adressen und nicht auf ganze Subnetze konzentrieren, bleiben diese Angriffe oft unbemerkt.
Durch diese Art der Angriffe erhöht sich auch die Wahrscheinlichkeit, dass andere Systeme und Dienste, die das Opfer nutzt, ebenfalls überlastet werden, was zu einer Reihe von Kollateralschäden führen kann.
Konnte noch im zweiten Halbjahr 2021 eine sinkende Zahl an Carpet-Bombing-Attacken beobachtet werden, kam es Mitte Februar und damit rund um die Eskalation in der Ukraine zu einem starken Anstieg der DDoS-Attacken und anschließend auch zu einem Anstieg der Carpet-Bombing-Angriffe auf eine mehr als doppelt so hohe Zahl wie noch im Dezember '21.
Die Angriffsvektoren, die beim Carpet Bombing verwendet werden, entsprechen in der Verteilung der Gesamtheit der DDoS-Landschaft. Den größten Teil macht mit 44 Prozent generisches UDP-Flooding im Rahmen von Multivektor-Attacken aus, gefolgt von DNS-Amplification (15 Prozent), TCP-Flooding (14 Prozent), TCP-Amplification (4 Prozent) und die restlichen UDP Reflection/Amplification-Vektoren (23 Prozent).
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Angriffe auf die Anwendungsschicht
Sogenannte DNS-Water Torture Angriffe auf DNS Server erlebten im ersten Halbjahr 2022 ebenfalls einen erschreckenden Zuwachs von 46 Prozent im Vergleich zum gleichen Vorjahreszeitraum. Diese Angriffe zielen mit großen Mengen von gefälschten Domain Anfragen auf eine Überlastung von DNS Servern ab. Beliebt ist diese Angriffsform, da sie wenig Ressourcen vonseiten des Angreifers voraussetzt. Nachdem die Kurve zu Beginn des Jahres 2022 noch abflachte, schnellten die Zahlen an März wieder in die Höhe.
Wenn man diese Angriffe nach Vektoren aufschlüsselt, wird deutlich, dass vor allem auf Brute-Force DNS-UDP Query-Flooding gesetzt wird. Dieser Vektortyp macht fast 75 Prozent aller DNS-Water-Torture-Angriffe aus. Obwohl die überwiegende Mehrheit der Angriffe das UDP-Protokoll verwendet, haben die mit dieser Angriffsmethode verbundenen TCP-Angriffe im Jahr 2022 zugenommen. Dieser Trend reflektiert, dass Angreifer immer häufiger Bots für direkte Angriffe einsetzen. Auch hier ist zu beobachten, dass die Botnetze konstant leistungsstärker werden und auch neue Player, wie die Killnet Organisation, hinzugekommen sind.
Über den Autor: Karl Heuser ist Account Manager Security DACH bei Netscout.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/0c/12/0c12798710e8ad30112ef71fe5db6722/0109365049.jpeg "TCP Flooding-Angriffe (SYN, ACK, RST) bleiben auch im ersten Halbjahr 2022 der am häufigsten genutzte Angriffsvektor (etwa 46 Prozent aller Angriffe).(Bild: NETSCOUT Threat Intelligence Report 1.H 2022)")
:quality(80)/p7i.vogel.de/wcms/e5/e7/e5e71e5f03299b479d0c6016731ddb99/0109365050.jpeg "Der fast 50-prozentige Rückgang der DNS-Amplification-Angriffe zwischen dem zweiten Halbjahr 2021 und dem ersten Halbjahr 2022 hatte erhebliche Auswirkungen auf die gesamte DDoS-Bedrohungslandschaft.(Bild: NETSCOUT Threat Intelligence Report 1.H 2022)")
:quality(80)/p7i.vogel.de/wcms/01/dd/01ddcbc72c275275103d9727cfae8eff/0109365046.jpeg "Der bislang größte Amplification-Faktor in der Geschichte, der TP240 PhoneHome Reflection/Amplification DDoS-Vektor, wurde durch einen Fehler in der Mitel PBX-Software ermöglicht, der es jedem im Internet erlaubte, gefälschte UDP-Pakete an die Testeinrichtung zu senden.(Bild: NETSCOUT Threat Intelligence Report 1.H 2022)")
:quality(80)/p7i.vogel.de/wcms/4d/64/4d64ca9ed3991762a0d4e529b8ae0d54/0109365047.jpeg "NETSCOUT stellt fest, dass mehr als 80 Prozent des gesamten erfassten Angriffsverkehrs von einer relativ kleinen Anzahl bestätigter IP-Adressen stammt.(Bild: NETSCOUT Threat Intelligence Report 1.H 2022)")
:quality(80)/p7i.vogel.de/wcms/54/6c/546ca362b4689d5bb7bd000d4f1fac07/0128287308v1.jpeg "Neben der steigenden Cyberangriffe ist auch eine Veränderung der Angriffstaktiken zu beobachten: Angreifer setzen vermehrt auf längere, strategisch geplante Attacken. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/14/9e/149e021418677602ac64964fb368bcbb/0124687422v1.jpeg "DDoS-Angriffe erreichen im ersten Quartal 2025 neue Rekordwerte: 20,5 Millionen Attacken, beispiellose Angriffsstärken und Deutschland springt auf Platz 1 der meistangegriffenen Länder. (Bild: © PX Media - stock.adobe.com)")