DDoS-Angriffe vom Typ „Carpet Bombing“: Das Angriffsmuster, das Ihre IP-basierten Abwehrmaßnahmen nicht erkennen
Ein DDoS-Flächenbombardement in Echtzeit. So sah es aus.
25 IP-Adressen, ein Subnetz, 40 Minuten – und dein Ratenbegrenzer pro IP hat nichts bemerkt
Ein ruhiger Morgen in Südasien
Am 28. April 2026 um 07:35 Uhr UTC geriet ein regionaler Internetdienstanbieter in Südasien unter Beschuss. Es handelte sich jedoch nicht um die Art von Angriff, die Alarm auslöst. Keine einzelne IP-Adresse verzeichnete einen Traffic-Anstieg, der stark genug war, um einen typischen Erkennungsschwellenwert pro IP zu überschreiten. Doch etwas weitaus gezielteres war im Gange.
In den nächsten 40 Minuten verfolgten wir A10 Defend Threat Control zu, wie Angreifer systematisch mehr als 25 verschiedene IP-Adressen innerhalb eines einzigen /24-Subnetzes durchliefen und jede einzelne mit hochkomplexen NTP-Amplifikationsangriffen attackierten. Alle 30 bis 90 Sekunden ein neues Ziel. Jeder Angriff dauerte zwischen 21 Sekunden und fast 8 Minuten. Dann ging der Angreifer zur nächsten Adresse über.
Das ist eine Flutattacke und gehört zu den wirksamsten DDoS-Abwehrtechniken, die derzeit zum Einsatz kommen.
So sieht Flächenbombardement in den Daten aus
Hier finden Sie eine komprimierte Übersicht über den zeitlichen Ablauf des Angriffs, die direkt aus denThreat Control A10 Defend Threat Control stammt. Jede Zeile entspricht einem einzelnen Angriffsvorfall. Alle IP-Adressen gehören zum selben /24-Netzblock, der sich im Besitz desselben regionalen Breitbandanbieters befindet.
| Uhrzeit (UTC) | IP-Adresse des Opfers (maskiert) | Dauer | Vektor |
|---|---|---|---|
| 07:35:17 | 160.250.82.x (.45) | 21 Sekunden | NTP – Hoch |
| 07:35:41 | 160.250.82.x (.242) | 404 Sek. | NTP – Hoch |
| 07:36:16 | 160.250.82.x (.115) | 57 Sek. | NTP – Hoch |
| 07:37:14 | 160.250.82.x (.56) | 80 Sekunden | NTP – Hoch |
| 07:38:36 | 160.250.82.x (.207) | 54 Sek. | NTP – Hoch |
| 07:39:32 | 160.250.82.x (.43) | 63 Sek. | NTP – Hoch |
| 07:40:40 | 160.250.82.x (.232) | 37 Sek. | NTP – Hoch |
| 07:42:27 | 160.250.82.x (.176) | 49 Sek. | NTP – Hoch |
| 07:43:20 | 160.250.82.x (.141) | 354 Sek. | NTP – Hoch |
| 07:44:26 | 160.250.82.x (.70) | 56 Sek. | NTP – Hoch |
| 07:45:25 | 160.250.82.x (.215) | 77 Sek. | NTP – Hoch |
| 07:46:44 | 160.250.82.x (.254) | 29 Sek. | NTP – Hoch |
| 07:47:15 | 160.250.82.x (.229) | 67 Sek. | NTP – Hoch |
| 07:49:16 | 160.250.82.x (.85) | 88 Sekunden | NTP – Hoch |
| 07:50:51 | 160.250.82.x (.117) | 37 Sek. | NTP – Hoch |
| ... | … (insgesamt über 25 IPs) | ... | ... |
| 08:01:14 | 160.250.82.x (.131) | 479 Sekunden | NTP – Hoch |
Abbildung: Zusammengefasste Zeitleiste der Flächenbombardements. Der vollständige Datensatz ist in A10 Defend Threat Control verfügbar.
Beachten Sie das Muster. Keine einzelne IP-Adresse verursacht so viel Datenverkehr, dass sie das Dashboard dominiert. Der Angreifer verteilt die Last auf das gesamte Subnetz und sorgt so dafür, dass die Gesamtbandbreite, die auf die Upstream-Verbindung des Opfers trifft, enorm ist, obwohl jedes einzelne Ziel nur mäßig ausgelastet erscheint.
Warum das wichtiger ist, als du denkst
Carpet-Bombing nutzt eine grundlegende Annahme aus, die den meisten DDoS-Erkennungssystemen zugrunde liegt: dass sich Angriffe auf ein einziges Ziel konzentrieren. Herkömmliche Abwehrmaßnahmen werden durch volumetrische Schwellenwerte pro IP-Adresse ausgelöst. Wenn der Datenverkehr zu einer einzelnen IP-Adresse sprunghaft ansteigt, wird er abgewehrt. Ganz einfach.
Was passiert jedoch, wenn keine einzelne IP-Adresse den Schwellenwert überschreitet? Wenn der Angreifer stattdessen 40 Gbit/s auf 25 IP-Adressen verteilt, von denen jede nur 1,6 Gbit/s aufnimmt. Einzeln betrachtet liegen diese Datenströme vielleicht unterhalb Ihrer Alarmschwelle. In ihrer Gesamtheit überlasten sie jedoch die Upstream-Verbindung und legen das gesamte Subnetz lahm.
Das ist keine Theorie. Im Rahmen dieser Kampagne war das gesamte /24-Netz des angegriffenen Internetdienstanbieters 40 Minuten lang ununterbrochen einer NTP-Amplifikationsattacke ausgesetzt. Der längste Angriff auf eine einzelne IP-Adresse dauerte fast 8 Minuten (479 Sekunden), doch die Kampagne zog sich weitaus länger hin, da der Angreifer einfach die Ziele wechselte.
Die Hinweise waren da – wenn man nur wusste, wo man suchen musste
Was diese Kampagne in A10 Defend Threat Control sichtbar machte,Threat Control nicht ein einzelnes Angriffsereignis, sondern die Korrelation zwischen den Ereignissen. Die Plattform erfasst Opferdaten aus allen weltweit beobachteten Angriffen, wodurch Muster, die sich über mehrere IP-Adressen, Subnetze und Zeitfenster erstrecken, auf eine Weise sichtbar werden, wie es von einem einzelnen Standpunkt aus niemals möglich wäre.
Als wir die Daten für dieses /24-Subnetz auswerteten, fiel uns das Muster eines Flächenangriffs sofort ins Auge: gleiche ASN, gleicher Angriffsvektor, gleicher Komplexitätsgrad, eng beieinander liegende Zeitstempel und sequenzielle IP-Ziele. Ein Analyst, der sich ein einzelnes Ereignis ansieht, würde einen routinemäßigen 60-Sekunden-NTP-Zugriff erkennen. Ein Analyst, der das Muster auf Subnetzebene betrachtet, würde eine koordinierte Kampagne erkennen.
Dieser Unterschied – zwischen dem Betrachten eines einzelnen Ereignisses und dem Betrachten der gesamten Kampagne – ist der Unterschied zwischen Reagieren und Voraussehen.
„Ein Analyst, der sich ein einzelnes Ereignis ansieht, erkennt einen routinemäßigen NTP-Zugriff. Ein Analyst, der das Subnetz betrachtet, erkennt eine koordinierte Kampagne. Genau in dieser Lücke liegt das Problem des ‚Carpet Bombing‘.“
Was sollten Verteidiger tun?
- Denken Sie in Subnetzen, nicht nur in IP-Adressen. Wenn Ihre Erkennungslogik Schwellenwerte nur auf Zielbasis auswertet, bleiben flächendeckende Angriffe unentdeckt. Eine aggregierte Verkehrsanalyse auf /24- oder Präfixebene ist unerlässlich.
- Stellen Sie Zusammenhänge über verschiedene Zeitfenster hinweg her. Ein einzelner 60-sekündiger NTP-Angriff ist nichts Besonderes. 25 solcher Angriffe auf dasselbe Subnetz innerhalb von 40 Minuten sind jedoch eine Kampagne. Ihre Tools müssen dieses Muster automatisch erkennen.
- Nutzen Sie externe Bedrohungsdaten. Der betroffene Internetdienstanbieter hatte in diesem Fall möglicherweise keinen Überblick über das Gesamtbild. Er sieht nur den eigenen eingehenden Datenverkehr. Eine Plattform wie A10 Defend Threat Control bietet die globale Perspektive, die isolierte Warnmeldungen in verwertbare Informationen umwandelt.
- Gehen Sie davon aus, dass NTP-Amplifikation nicht verschwinden wird. Jeder Angriff dieser Kampagne nutzte NTP-Reflection in hohem Maße. Offene NTP-Server bieten weiterhin enorme Amplifikation, und die Angreifer wissen das.
Überzeugen Sie sich selbst
Diese „Flächenbombardierung“-Kampagne ist nur eines von vielen Mustern, die wir aus über einer Million DDoS-Angriffen herausgefiltert haben, die alleinThreat Control April 2026 von A10 Defend Threat Control beobachtet wurden. Die Plattform ermöglicht es Ihnen, nach Angriffstyp, Land des Opfers, ASN, Branche, Dauer und weiteren Kriterien zu filtern und so Rohdaten in Erkenntnisse umzuwandeln, mit denen Sie der nächsten Kampagne immer einen Schritt voraus sind.
Sehen Sie sich die Echtzeitdaten im A10 Defend Threat Control an oder melden Sie sich für eine kostenlose 90-Tage-Testversion an, um zu erfahren, was Angreifer gerade tun.
