Welche 11 Verstärkungsvektoren gab es bei einem kürzlich erfolgten Multi-Vektor-DDoS-Angriff?
Eine 19-tägige Analyse von 126.875 DDoS-Angriffen ergab, dass ein einziges Subnetz in den Niederlanden 11 verschiedene Verstärkungsvektoren absorbierte, und was dies für Sicherheitsverantwortete weltweit bedeutet.
Wichtigste Erkenntnisse
- Angreifer probieren mittlerweile mehr als zehn Verstärkungsvektoren gegen einzelne Ziele aus und umgehen so Abwehrmaßnahmen, die nur auf ein einziges Protokoll abzielen.
- Ältere UDP-Dienste (CHARGEN, QOTD, Portmap) bleiben bis 2026 aktiv. Jeder offen gelassene Port begünstigt künftige DDoS-Angriffe.
- Nicht die Größe der Datenpakete, sondern die Dauer der Aktivitäten offenbart die tatsächliche Bedrohung. Lang andauernde Kampagnen mit geringem Datenvolumen verbergen sich im Hintergrundrauschen.
- Eine mehrschichtige Verteidigung erfordert drei Ebenen: breitbandige UDP-Filterung, intelligente Echtzeit-Verstärkung und die Erkennung von Verhaltensabweichungen.
Bei Multi-Vektor-DDoS-Angriffen wird der Datenverkehr über anfällige Server umgeleitet, um die Ziele zu überlasten. Die Angreifer kombinieren mehrere UDP-/TCP-Reflexionsvektoren gleichzeitig, wodurch sich das Datenverkehrsvolumen vervielfacht und die Bandbreite schneller ausgelastet wird als bei Ein-Vektor-Angriffen.
Zwischen dem 1. und dem 20. Mai 2026 wird die A10 Defend Threat Control 126.875 DDoS-Angriffe auf die globale Infrastruktur. Die meisten Opfer entsprachen einem vorhersehbaren Profil: ein einzelner Angriffsvektor, meist DNS- oder NTP-Amplifikation, der in kurzen Bursts gestartet wurde. Doch ein Ziel brach aus diesem Muster aus. Ein /24-IP-Bereich, der von einem westeuropäischen Hosting-Anbieter in den Niederlanden gehostet wurde (185.242.3.0/24), wurde in diesem Zeitraum von mindestens elf verschiedenen Amplifikationsvektoren angegriffen, oft im Abstand von nur wenigen Minuten.
Das ist kein Zufall. Es handelt sich um das Kennzeichen einer gezielten, mehrvektoriellen DDoS-Kampagne – ein Angriffsmuster, das auf einen einzigen Zweck ausgerichtete Abwehrmaßnahmen zunichte macht und eine mehrschichtige Verteidigung erfordert.
Warum ein einziges Subnetz elf Vektoren hervorbrachte
Bei einem typischen Amplifikationsangriff fälscht ein Angreifer die IP-Adresse des Opfers und sendet kleine Abfragen an anfällige Server von Drittanbietern. Diese Server antworten mit wesentlich umfangreicheren Antworten, die alle an das gefälschte Opfer gerichtet sind. Die Mathematik spielt dem Angreifer in die Hände: Schon wenige Megabit an ausgehendem Abfrageverkehr können Gigabits an eingehendem Datenfluss beim Opfer auslösen.
Viele Amplifikationskampagnen stützen sich lediglich auf einen oder zwei vorherrschende Vektoren. Bei der Kampagne gegen dieses niederländische Subnetz wurden insgesamt 11 Vektoren eingesetzt. Die beobachteten Vektoren, die darauf abzielten, in der Reihenfolge ihres Auftretens:
Die elf beobachteten Vektoren
| Angriffsvektor | Protokolltyp | Warum Angreifer es nutzen |
|---|---|---|
| DNS | UDP/53 | Hoher Vergrößerungsfaktor (28- bis 54-fach), großflächige Resolver |
| NTP | UDP/123 | Der Befehl „MONLIST“ ermöglicht eine bis zu 556-fache Verstärkung |
| CLDAP | UDP/389 | Bis zu 70-fache Verstärkung durch falsch konfigurierte LDAP-Server |
| MSSQL | UDP/1434 | Der SQL-Browser-Dienst gibt Daten zur Serverauflistung zurück |
| CHARGEN | UDP/19 | Das alte Protokoll gibt pro angefordertem Byte bis zu 358 Byte zurück |
| QOTD | UDP/17 | Der „Zitat des Tages“-Dienst wird für eine geringfügige Verstärkung missbraucht |
| TFTP | UDP/69 | Fehlermeldungen bei der Dateiübertragung vergrößern die Antwortgröße |
| NetBIOS | UDP/137 | Abfragen an den Namensdienst lösen große Antwortpakete aus |
| SNMP | UDP/161 | GetBulk-Anfragen erweitern Antworten mit Community-Strings |
| Portmap | UDP/111 | RPC-Enumerationsantworten, die für die Reflexion verwendet werden |
| Ubiquiti | UDP/10001 | Geräteerkennungsdienst auf ungeschützten Routern missbraucht |
Einige davon – CHARGEN, QOTD, Portmap – sind Protokolle, die von den meisten Sicherheitsexperten als veraltet angesehen werden. Ihre fortgesetzte Nutzung im Jahr 2026 deutet auf zwei Dinge hin. Erstens sind im öffentlichen Internet immer noch genügend anfällige Amplifier vorhanden, um von Nutzen zu sein. Zweitens werden Angreifer so lange alle funktionierenden Angriffsvektoren durchprobieren, bis einer die Filter des Ziels umgeht.
Was dieses Muster für Verteidiger bedeutet
Eine auf einen einzigen Vektor beschränkte Risikominderung reicht nicht mehr aus
Viele Unternehmen setzen DNS- oder NTP-spezifische Ratenbegrenzungen ein und halten sich damit für geschützt. Das Multi-Vektor-Muster zeigt jedoch, dass Angreifer einfach auf MSSQL, Ubiquiti oder CHARGEN ausweichen, sobald ein Kanal blockiert wird. Ein wirksamer Schutz erfordert eine grundlegende Filterung aller UDP-Reflexionsvektoren, nicht nur der gängigen.
Ältere Protokolle sind nach wie vor im Einsatz
CHARGEN stammt aus dem Jahr 1983. QOTD ist sogar noch älter. Dennoch tauchen beide in diesem Datensatz auf. Jede Infrastruktur, die diese Ports nach innen oder außen offen lässt – selbst wenn es sich nur um einen falsch konfigurierten Legacy-Dienst handelt –, ist an den Amplification-Flood-Angriffen von morgen beteiligt. Die Überprüfung auf vergessene UDP-Dienste ist nicht mehr nur eine Option.
Hinter dem Durchschnitt verbergen sich anhaltende Kampagnen
Im gesamten Datensatz wurde ein britischer Breitbandanschluss für Privatkunden mit der IP-Adresse /24 (2.27.173.0/24) während des gesamten Zeitraums von 19 Tagen etwa jede Minute mit anhaltenden CLDAP-Angriffen konfrontiert. Zwei bangladeschische Festnetz-Breitband-ISPs waren in ähnlichem Rhythmus kontinuierlichen NTP-Angriffen ausgesetzt. Diese langwierigen Kampagnen sorgen selten für Schlagzeilen, da kein einzelner Angriff groß genug ist, um in die Nachrichten zu kommen, doch die kumulative Belastung ist erheblich, und das Muster der Beharrlichkeit ist an sich schon ein Indikator für eine Bedrohung.
Eine Verteidigung aufbauen, die der Bedrohung gerecht wird
Das Szenario mit mehreren Angriffsvektoren bietet einen nützlichen Leitfaden für die Prioritäten bei der Abwehr. Drei Fähigkeiten sind unerlässlich, um eine Kampagne mit mehreren Angriffsvektoren zu neutralisieren:
- Breitbandige Reflexionsfilterung. Begrenzen Sie die Datenrate und überprüfen Sie jeden UDP-Dienst, von dem bekannt ist, dass er für Verstärkungsangriffe ausgenutzt werden kann – nicht nur die besonders bekannten.
- Echtzeit -Bedrohungsinformationen. Signatur-Feeds, die aktualisiert werden, sobald neue Verstärker online gehen, ermöglichen es Schutzsystemen, reflektierten Datenverkehr bereits an der Quelle zu blockieren.
- Erkennung von Verhaltensabweichungen. Wenn eine IP-Adresse Protokollverkehr registriert, den sie zuvor noch nie empfangen hat, ist dies bereits ein Alarmsignal. Muster sind wichtiger als Nutzdaten.
Fazit
Das niederländische Subnetz war im Datensatz vom Mai 2026 weder das größte DDoS-Ziel noch das am häufigsten angegriffene. Es war jedoch das am vielfältigsten angegriffene. Diese Besonderheit ist von Bedeutung, da sie zeigt, in welche Richtung sich DDoS-Angriffe entwickeln: weg von volumetrischen Flood-Angriffen über einen einzigen Vektor hin zu koordinierten, protokollübergreifenden Kampagnen, die darauf abzielen, vorhandene Lücken in der Verteidigung aufzuspüren und auszunutzen.
Entdecken Sie die kostenlose Dashboard-Version unter threats.a10networks.com oder melden Sie sich für eine kostenlose Testversion an, um zu sehen, was Angreifer gerade tun.
Häufig gestellte Fragen
Bei einem Multi-Vektor-DDoS-Angriff werden zwei oder mehr unterschiedliche Angriffsmethoden gegen dasselbe Ziel eingesetzt, oft im Abstand von nur wenigen Minuten. Anstatt sich auf eine einzige Technik wie die DNS-Verstärkung zu verlassen, wechseln die Angreifer zwischen verschiedenen Protokollen – DNS, NTP, CLDAP, MSSQL, Ubiquiti und anderen –, um auf eine bestimmte Methode ausgerichtete Abwehrmaßnahmen zu umgehen.
DNS-Amplification-Angriffe nutzen offene DNS-Resolver aus. Der Angreifer sendet kleine Anfragen, die so gefälscht sind, dass sie von der IP-Adresse des Opfers zu stammen scheinen, und der Resolver antwortet mit wesentlich umfangreicheren DNS-Antworten, die an das Opfer gerichtet sind. Die Verstärkungsfaktoren liegen zwischen dem 28- und 54-Fachen, was bedeutet, dass wenige Megabit an Anfrageverkehr des Angreifers Gigabits an eingehendem Datenfluss beim Ziel verursachen können. Dies macht DNS heute zu einem der am häufigsten ausgenutzten Amplifikationsvektoren.
CHARGEN stammt aus dem Jahr 1983 und QOTD ist sogar noch älter, doch beide tauchten in den Angriffsdaten vom Mai 2026 auf. Angreifer nutzen sie, weil im öffentlichen Internet nach wie vor eine beträchtliche Anzahl ungeschützter, veralteter UDP-Dienste vorhanden ist und die meisten Verteidiger die Überwachung dieser Ports eingestellt haben. CHARGEN kann pro angefordertem Byte bis zu 358 Byte zurückgeben, was es zu einem zuverlässigen Verstärker macht, wenn sich die Abwehrmaßnahmen eines Ziels ausschließlich auf moderne Protokolle konzentrieren.
Bei der Ein-Vektor-Abwehr wird jeweils nur eine Angriffsart bekämpft, beispielsweise durch DNS-spezifische Ratenbegrenzung. Bei der Multi-Vektor-Abwehr wird eine Basisfilterung auf alle UDP-Reflexionsvektoren angewendet, von denen bekannt ist, dass sie ausgenutzt werden können. Angreifer wechseln von DNS zu MSSQL zu Ubiquiti, sobald ein Kanal blockiert wird. Ein wirksamer Schutz erfordert eine breit angelegte Abdeckung und keine punktuellen Korrekturen für einzelne Protokolle.
Die Früherkennung beruht eher auf der Erkennung von Verhaltensauffälligkeiten als allein auf der Überprüfung der Nutzdaten. Wenn ein Subnetz plötzlich Protokollverkehr empfängt, den es zuvor noch nie gesehen hat, ist diese Veränderung an sich schon ein Alarmsignal. Echtzeit-Bedrohungsinformationen, die neu aktive Verstärker aufdecken, sind ebenfalls hilfreich, da sie es Abwehrsystemen ermöglichen, den reflektierten Datenverkehr an der Quelle zu blockieren, bevor er sich zu einer messbaren Flut beim Opfer verdichtet.
Aufklärungsangriffe sind kleine Sondierungsversuche mit weniger als 1 Gbit/s, die die Verteidigungsmechanismen ausloten. Sie bleiben unterhalb der Alarmschwellen und testen die Reaktionsmuster. Sobald Angreifer Schwachstellen finden, starten sie umfassende Multi-Vektor-Kampagnen, bei denen sie mehr als 10 Protokolle durchlaufen. Sowohl die ersten Sondierungsversuche als auch die Folgeangriffe müssen erkannt werden, um den Schutz aufrechtzuerhalten.
