DDoS-as-a-Service senkt die Einstiegshürde drastisch. Statt eigene Infrastruktur aufzubauen, kann ein Angreifer den Zugang zu einem Web-Panel bezahlen, ein Ziel auswählen, eine Dauer festlegen und sich auf das Botnetz, das Proxy-Netzwerk oder die fremde Angriffsinfrastruktur eines Dritten verlassen. Flare betont, dass sich die Untersuchung ausschließlich auf verteilte (distributed) Angriffe konzentriert und DoS-Angebote nach Möglichkeit ausgeschlossen wurden.

Die Beiträge aus dem Jahr 2023 waren laut Flare thematisch breiter gestreut. Viele Angebote drehten sich um Skripte, geleakte Werkzeuge, Anleitungen oder allgemeine Werbung für „Botnet-Dienste". Ein wiederkehrender Beitragstyp bewarb einen „Botnet Service L7 - L4" mit Fähigkeiten auf den Schichten 3, 4 und 7, optionalem API-Zugang, automatischen Zahlungen, hoher Zahl an Angriffs-Slots, Angriffen auf Spieleserver sowie der Umgehung von Cloudflare-Schutzmechanismen. Derselbe Werbetext tauchte bei mehreren Quellen und Akteuren auf — ein Hinweis auf Kopieren, Weiterverkauf oder Recycling der Werbung.

Die Beiträge aus 2026 rücken dagegen Preis und konkretes Angebot in den Mittelpunkt. Ein Inserat für „SatelliteStress" beschrieb den Dienst als IP-Stresser mit benutzerfreundlichem Panel, API-Zugang, Unterstützung für Spieleserver und Monatsplänen ab 20 Euro; der Dienst sei „zu 100 % botnetzbetrieben" und nicht auf nachgelagerte APIs angewiesen. „Areshun" warb für einen „Premium DDoS Service" mit Angriffen auf Schicht 4 und 7, Monitoring, API-Integration, individuellen Plänen, Support rund um die Uhr und Rabattcodes. „RebirthStress" wurde als botnetzbetriebenes IP- und Web-Stress-Werkzeug mit kostenlosem Layer-7-Hub, mehr als 400 Slots, Eignung zum Weiterverkauf und Plänen ab 15 US-Dollar pro Monat vermarktet.

Die technischen Details sind nicht verschwunden, sondern Teil des Verkaufsarguments geworden. Begriffe wie „Panel", „API", „Slots", „Bypass", „Monitoring", „Uptime" und „Support" tauchen 2026 häufiger gebündelt auf. Ein Inserat mit Bezug zu THORCC nannte mehr als 7.000 aktive Layer-4-Bots und warb mit Bandbreitenanalysen und Statistiken zu Angriffsvektoren. Ein weiterer Beitrag in russischer und englischer Sprache bot „professionelles Stresstesting" und behauptete die Umgehung von Cloudflare und DDoS-Guard, hohe Gleichzeitigkeit und lange Angriffsdauern. Flare weist darauf hin, dass die Verkäufer ihre Fähigkeiten möglicherweise übertreiben, die Beständigkeit der Werbesprache aber dennoch wertvolle Erkenntnisse liefere.

Die Preise sind 2026 sehr niedrig: ein einstündiger Angriff für 5 US-Dollar, ein Angriff auf eine Webseite für 10 US-Dollar, ein 24-stündiger Angriff für 25 US-Dollar. Der Akteur „SamuraiDD" bewarb Angriffe ab 100 US-Dollar pro Tag. „POWERDDOS" nutzte ein gestaffeltes Modell: 5-Dollar-Tests, 100 US-Dollar pro Tag für „schwache", 200 US-Dollar für „mittlere" und 500 US-Dollar für „starke" oder geschützte Ziele. Im Premium-Bereich wurde ein DDoS-Botnetz-Angriffsnetzwerk für 2.000 US-Dollar angeboten.

Der Markt ist damit nach Käufertyp segmentiert — von billigen Tests und Kurzangriffen für unerfahrene Nutzer bis zu hochwertigen Infrastruktur- oder Reseller-Angeboten. Öffentliche Berichte zur sogenannten Booter-Ökonomie passen zu diesem Modell günstigen Zugangs: Akamai weist darauf hin, dass manche DDoS-Booter-Dienste weniger als 25 US-Dollar pro Monat kosten und teils begrenzte Testphasen anbieten. Verteidiger sollten daher nicht voraussetzen, dass hinter störender DDoS-Aktivität ein versierter Angreifer steht.