DDoS-Bedrohungskarte zeigt globale Verteilung der wichtigsten Verstärkerwaffen und Bots
A10 Networks aktualisierte Daten zu seiner Bedrohungskarte bereitgestellt, in der nach Ländern die wichtigsten Amplifikationswaffen und die Gesamtzahl der Bots/Drohnen aufgeführt sind, die bei den jüngsten weltweiten Abfragen unseres Bedrohungsforschungsteams gefunden wurden. Diese Karte zeigt zwar, wo die Waffen gehostet werden, doch Angriffe können von böswilligen Akteuren auf der ganzen Welt mit jeder dieser Waffen initiiert und gesteuert werden. Um einen umfassenden Datensatz zu DDoS-Waffen anzuzeigen, laden Sie den vollständigen Bericht herunter.
DDoS-Angriffe werden von Jahr zu Jahr raffinierter und umfangreicher. Heutzutage nutzen DDoS-Angriffe mehrere Angriffsvektoren aus verschiedenen Ländern, um ein hohes Volumen zu erreichen und die Herkunft des Angriffs zu verschleiern. Daten wie die in den Bedrohungskarten und im A10 Defend Threat Control -Portal helfen Cyber-Sicherheitsteams in Unternehmen und bei Dienstleistern dabei, verdächtige Aktivitäten in ihren Netzwerken zu identifizieren und zu isolieren, um sich besser vor DDoS-Angriffen zu schützen.
Im April 2025 erfolgte ein hyper-volumetrischer Multi-Vektor-Angriff mit 6,5 Tbps und 4,8 Milliarden Paketen pro Sekunde. Dies ist der bisher größte gemeldete DDoS-Angriff. Bei diesem Angriff wurden mehr als 30.000 eindeutige IP-Adressen aus 147 Ländern und mehrere Angriffsvektoren verwendet, darunter SYN-Flood-Angriffe, Mirai-Botnet, SSDP-Verstärkung, CLDAP und ESP-Reflexion/Verstärkung. Die Bedrohungskarte gibt Aufschluss darüber, wo sich einige dieser Waffen befinden könnten.
Das Simple Service Discovery Protocol (SSDP) ist ein häufig genutzter Angriffsvektor für DDoS-Angriffe. Nachforschungen von A10 ergaben, dass es weltweit Millionen von Verstärkerwaffen gibt, mit einer starken Konzentration in den USA und China. SSDP macht etwa 22 Prozent dieser Gesamtzahl aus. Über die Hälfte der SSDP-Verstärker befinden sich in nur zehn Ländern - Venezuela, China, Algerien, Kroatien, Südkorea, Vietnam, Taiwan, Indien und Kasachstan. Die übrigen Verstärkerwaffen sind über zweihundert Länder verteilt.
SSDP ermöglicht es Geräten in einem lokalen Netz, andere Geräte automatisch zu erkennen. Dieses Protokoll ist in Verbrauchergeräten weit verbreitet, z. B. in Plug-and-Play-Umgebungen, bei der Heimautomatisierung, beim Medienstreaming und bei Gerätekonfigurationen, Smartphones, Netzwerkkameras und anderen. Es gibt Millionen von SSDP-basierten Geräten in einem Netzwerk, von denen Millionen dem Internet ausgesetzt sind.
Das Connectionless Lightweight Directory Access Protocol (CLDAP) hingegen ist ein eher unbekanntes Protokoll, das weltweit nur 0,2 % aller Verstärker ausmacht. CLDAP ist ein Netzwerkprotokoll, das hauptsächlich für die Abfrage von Verzeichnissen wie Microsoft Active Directory verwendet wird. Da CLDAP das User Datagram Protocol (UDP) verwendet, ist es anfällig für Missbrauch bei Reflection Amplification-Angriffen. Angreifer können kleine, gefälschte Anfragen an ungeschützte CLDAP-Server senden, die dann Antworten an das Opfer generieren, die bis zu siebzigmal so groß sind wie die ursprüngliche Anfrage. CLDAP-basierte Angriffe werden zwar erst seit 2016 gemeldet, aber die Nutzung als Angriffsvektor hat zugenommen.
Die A10-Bedrohungskarte zeigt auch die Verbreitung des Constrained Application Protocol (CoAP). CoAP macht 4 Prozent aller weltweiten Verstärker aus, wobei CoAP-basierte Waffen in 155 Ländern zu finden sind. Wie aus der Karte hervorgeht, konzentriert sich mehr als die Hälfte der CoAP-Waffen auf nur drei Länder - China, Russland und die Philippinen.
CoAP ist ein leichtgewichtiges Web-Übertragungsprotokoll, das bei ressourcenbeschränkten IoT- und Machine-to-Machine-Geräten wie Sensoren, Steuerungen, Smart-Home-Geräten, Wearables und Energiemanagement weit verbreitet ist. Es gibt dokumentierte Fälle von DDoS-Angriffen mit reflektierter Verstärkung unter Verwendung von CoAP, das über UDP läuft. Forschungsteams haben den Verstärkungsfaktor mit dem Vierunddreißigfachen der ursprünglichen Anfrage gemessen.
Die Bedrohungskarte gibt einen Überblick über die relative geografische Konzentration der wichtigsten Verstärkungswaffen und der gesamten Bots für jedes Land. Der Bericht "DDoS-Waffen 2025 " enthält detailliertere Daten.
