DDoS-Rekord: Cloudflare blockt 71 Millionen rps HTTP-Angriff

UNGLAUBLICH: Cloudflare hat im Mai 2026 den groessten HTTP-DDoS-Angriff aller Zeiten abgewehrt — 71 Millionen Anfragen pro Sekunde. Das ist ein Anstieg gegenueber dem bisherigen HTTP-Rekord (rund 26 Millionen rps) um den Faktor 2,7.

SCHOCK: HTTP-Flood statt Volumen-Wand

HTTP-Floods unterscheiden sich von klassischen Volumen-Attacken wie dem 31,4 Tbps Aisuru-Rekord vom Dezember 2025. Statt mit Terabit-Wellen wird die Anwendungs-Schicht ueberflutet: jede Anfrage sieht aus wie ein normaler Request und muss dennoch verarbeitet werden. Genau das macht HTTP-Floods so gefaehrlich — billige CPU-Sekunden auf dem Server explodieren in Sekunden.

HAMMER: Auto-Mitigation in unter 5 Sekunden

Laut Cloudflare-Telemetrie hat das Edge-System den Angriff vollautomatisch erkannt und mitigiert — von der ersten Anomalie bis zur vollstaendigen Blockade vergingen weniger als 5 Sekunden. Im Hintergrund laufen Anomalie-Erkennung, JS-Challenges und Rate-Limits auf rund 380 Datacentern weltweit parallel.

WARNUNG: Die Angriffe werden groesser, die Pausen kuerzer

Cloudflare meldet im 2026er-Threat-Report, dass Tbps-Angriffe mittlerweile mehrfach pro Quartal vorkommen — gegenueber wenigen pro Jahr in 2023. Verantwortlich sind kompromittierte IoT-Geraete, vor allem Router, Kameras und veraltete NAS-Systeme. Die Aisuru-Botnet-Familie laeuft weiterhin breitenwirksam.

FAZIT: Edge-Schutz ist Pflicht

Wer eigene Server betreibt, sollte spaetestens jetzt einen Edge-Schutz davor schalten — Cloudflare, Akamai, BunnyCDN-Shield oder Fastly. Selbst Hetzners Nokia-AI-Filter auf Layer 3/4 fanging Tbps-Wellen ab, gegen Layer-7-Floods brauchst du einen WAF davor. Ohne Edge-Service hast du gegen 71 Millionen rps keine Chance — selbst nicht mit einer 192-Kern-EPYC-Maschine.

EXTRA-TIPP: Auf Cloudflare die Sicherheits-Stufe auf ‚Unter Angriff“ setzen und Bot Fight Mode aktivieren, sobald du Anomalien siehst. Bei eigenem NGINX davor: limit_req-Zone fuer dynamische Endpoints einrichten, statisches Caching aggressiv hochschrauben.

Haeufige Fragen

Welche Versionen sind betroffen?

Beliebige Anwendungen ohne Edge-Schutz — die Schwachstelle liegt nicht in einer Software, sondern in der Architektur ohne vorgeschalteten DDoS-Filter.

Wie merke ich, ob mein System verwundbar ist?

Last-Tests mit hping3, wrk oder vegeta zeigen das Verhalten unter Konzentration. Ohne Edge-Service kollabiert ein typischer 8-Core-Webserver bei rund 50.000 rps.

Wie behebe ich das Problem konkret?

Edge-Service vor die eigene Infrastruktur schalten — Cloudflare Free Tier reicht fuer kleine Sites, Pro/Business fuer hoehere Last. WAF-Regeln und Bot Management aktivieren.

Gab es schon aktive Angriffe?

Ja, der 71-Mio-rps-Angriff war real und wurde von Cloudflare im Mai 2026 mitigiert. Ziel wurde aus Vertraulichkeitsgruenden nicht genannt.

Quellen:

DDOS-SCHOCK! Cloudflare wuergt JETZT den groessten HTTP-Angriff aller Zeiten ab — 71 Millionen Anfragen pro SEKUNDE