Sie haben es wahrscheinlich schon erlebt: Eine Website ist plötzlich nicht mehr erreichbar, eine Anmeldeseite läuft ab oder ein Online-Dienst wird unerreichbar. Während interne Ausfälle die Ursache sein können, handelt es sich oft um einen Distributed Denial-of-Service (DDoS)-Angriff, der darauf abzielt, den Dienst von außen zu überlasten. DDoS-Angriffe stören Online-Dienste, indem sie diese mit Traffic überfluten, die Infrastruktur erschöpfen und sie unerreichbar machen, ohne die Systeme zu kompromittieren. Jetzt wird DDoS als ausgereifter Online-Dienst verpackt, gebrandet und verkauft, mit erheblichen realen Auswirkungen. **Cloudflare** berichtete, 2025 einen Angriff mit 7,3 Tbps blockiert zu haben und später in seinem DDoS-Bericht für Q4 2025 einen Angriff mit 31,4 Tbps abgewehrt zu haben. **Microsoft** berichtete ebenfalls, dass **Azure** im Oktober 2025 einen Angriff mit 15,72 Tbps abgewehrt hat und diesen der **Aisuru**-Botnet zuschrieb. Hinter diesen Vorfällen konkurrieren Untergrund-Verkäufer mit immer ausgefeilteren Angeboten um Käufer. Jüngste Analysen von **Flare**-Forschern heben Angriffspanels, API-Zugang, monatliche Pläne, Wiederverkäuferoptionen, Kundensupport, botnet-gestützte Kapazitäten, Game-Server-Methoden und **Cloudflare**-Bypass-Ansprüche hervor. Ein Vergleich der DDoS-bezogenen Untergrundaktivitäten aus den ersten fünf Monaten der Jahre 2023 und 2026 zeigt die rasante Entwicklung dieser Angebote. Was einst als Skripte, Tutorials, geleakte Tools und verstreute Forumsposts erschien, ist nun ein wiederholbares Produkt, das einfacher zu kaufen und zu betreiben ist. ## Was ist DDoS? Ein DDoS-Angriff überflutet ein Ziel (Website, Anwendung, Netzwerk oder Server) mit Traffic aus zahlreichen Quellen. Angriffe können die Netzwerkkapazität oder Ressourcen auf Anwendungsebene wie Anmeldeseiten und APIs angreifen. Das Hauptziel ist es, den Dienst unzugänglich, instabil oder teuer im Unterhalt zu machen. DDoS-as-a-Service reduziert die Einstiegshürden weiter. Angreifer können für den Zugriff auf ein Webpanel bezahlen, ein Ziel und eine Dauer auswählen und das Botnet oder Proxy-Netzwerk eines anderen nutzen.  ## Analyse durch Flare-Forscher **Flare**-Forscher analysierten DDoS-bezogene Untergrundaktivitäten aus den ersten fünf Monaten der Jahre 2023 und 2026. Die kuratierten Daten zeigten signifikante Trends: | Thema | 2023 | 2026 | Veränderung | |-----------------------------|-------|-------|---------------| | Anzahl der Datensätze | 4.403 | 4.964 | Leichter Anstieg | | Hochsignal-DDoS-Service-Anzeigen | 38 | 364 | ~10-facher Anstieg | | Einzigartige Anzeigen-Cluster | 31 | 123 | ~4-facher Anstieg | | Einzigartige Akteure | 15 | 41 | ~3-facher Anstieg | | Beobachtete Quellen | 22 | 43 | ~2-facher Anstieg | *Hinweis: Diese Forschung konzentrierte sich auf verteilte DoS (DDoS) und schloss Angebote für Denial-of-Service (DoS) aus einer einzigen Quelle aus.* ## Von verstreuten Werkzeugen zu verpackten Diensten Posts aus dem Jahr 2023 waren vielfältiger und drehten sich um Skripte, geleakte Tools, Tutorials oder generische "Botnet-Service"-Anzeigen. Ein wiederkehrender Post aus dem Jahr 2023 bewarb einen "Botnet Service L7 - L4" mit angeblichen Layer 3, Layer 4 und Layer 7-Fähigkeiten, optionalem API-Zugang, automatischen Zahlungen, hohen Angriffs-Slots, Zielen auf Game-Server und **Cloudflare**-Bypässen. Derselbe Text erschien auf mehreren Quellen, was auf Wiederverkauf oder recyceltes Marketing hindeutet.  Neuere Posts aus dem Jahr 2026 konzentrieren sich auf Preis und Angebote. Eine Anzeige für "SatelliteStress" beschrieb den Dienst als IP-Stresser mit einem benutzerfreundlichen Panel, API-Zugang, Game-Server-Unterstützung und monatlichen Plänen ab 20 €. Der Post behauptete eine "100% botnet-gestützte" Infrastruktur. "Areshun" bietet einen "Premium DDoS Service" mit Layer 4- und Layer 7-Angriffen, Überwachung, API-Integration, kundenspezifischen Plänen, 24/7-Support und Werbe-Rabattcodes an.  "RebirthStress" wird als botnet-gestütztes IP- und Web-Stressing-Gerät vermarktet, mit einem kostenlosen Layer 7-Hub, über 400 Slots, Eignung für den Wiederverkauf und Plänen ab 15 $/Monat. Der Trend ist klar: Posts aus dem Jahr 2026 konzentrieren sich auf ein Produkt, wobei Verkäufer um Kunden konkurrieren, indem sie Funktionen wie Benutzerfreundlichkeit, Automatisierung, Support, Datenschutz, Wiederverkaufsfähigkeit und Zuverlässigkeit anbieten. ## Die technische Sprache wurde Teil des Verkaufsgesprächs Technische Details sind nicht verschwunden; sie sind Teil des Verkaufsgesprächs geworden. Anzeigen im Jahr 2026 bündeln häufig Layer 4- und Layer 7-Ansprüche (Unterstützung für Angriffe auf Netzwerk- und Anwendungsebene) mit Begriffen wie "Panel", "API", "Slots", "Bypass", "Monitoring", "Uptime" und "Support". Eine THORCC-bezogene Anzeige beanspruchte über 7.000 aktive Layer 4-Bots und bewarb Bandbreitenanalysen und Angriffsvektorstatistiken. Ein anderer Post präsentierte "professionelles Stresstesting" und beanspruchte **Cloudflare**- und **DDoS-Guard**-Bypässe, hohe Gleichzeitigkeit und lange Angriffsdauern. Verkäufer können Fähigkeiten übertreiben, aber die Konsistenz der Marketing-Sprache liefert wertvolle Informationen. Es zeigt, dass Käufer ermutigt werden, Webpanels, Automatisierung, Bypass-Ansprüche und die Fähigkeit, Angriffe mit minimalem Aufwand zu starten oder weiterzuverkaufen, über reine Traffic-Volumen hinaus zu schätzen. ## Das Geschäftsmodell Die Preisgestaltung von DDoS-Angriffen im Jahr 2026 ist bemerkenswert niedrig.