Endstation Blackhole. Die Geschichte einer DDoS-Attacke

|
Chronologie des Angriffs und Gegenmaßnahmen

Realität des Internets: DDoS-Attacken gehören zum Alltag. Auch wir werden von Zeit zu Zeit angegriffen - trotz höchstem Schutz, Stabilität und Sicherheitsmaßnahmen. Wir monitoren unsere Systeme rund um die Uhr und greifen blitzschnell ein. So bekommen unser Kunden meist nichts davon mit. Am 20. August 2022 traf uns allerdings ein Angriff eines für uns bisher ungekannten Ausmaßes. Kurzzeitig waren Systeme nicht erreichbar. Was war passiert? Wie groß war der Angriff? Wer war betroffen und wie haben wir reagiert? Das liest du im Folgenden.

Chronologie der Ereignisse

Der Angriffszeitpunkt ist vom Verursacher mit Bedacht gewählt. Während samstagnachmittags gefühlt die halbe Republik am Grill steht oder im Café sitzt, zeigen unsere Monitoringsysteme um 15:55 erste Unregelmäßigkeiten. Vier Minuten später meldet sich über Twitter bereits der erste Kunde mit Problemen.

Unmittelbar nachdem wir die Auffälligkeiten identifizieren, blockieren wir auffällige Angreifer von unseren Systemen. Der Angriff ist jedoch so komplex, dass unsere Techniker zusätzliche Maßnahmen umsetzen. Die Hacker streuen ihre Attacke, versuchen, das eigentliche Ziel zu verschleiern und erschweren so die Mustererkennung.
 

Was wir zu diesem Zeitpunkt noch nicht wissen: Die Traffic-Sprünge sind nur ein Vorbote dessen, was in den nächsten Stunden auf unsere Systeme zukommt. Das Monitoring wird später Peaks anzeigen, die bis zu - und das ist kein Marketing-Blabla - tausend Mal  so stark sind, wie bei einem üblichen DDoS. 
 

Die Brisanz ist aber bereits jetzt klar. Während die Techniker weiter analysieren und aussperren, unterstützen Kundenservice und Kommunikation unsere Kunden bei aufkommenden Fragen. 

In der Folge werden Muster erkennbar, sodass wir den Traffic der aktivsten Angreifer sperren. Der gesamte Datenverkehr von und zu diesen Providern wird ab sofort verworfen. Dank weiterer Analysen sehen wir, worauf es die Angreifer abgesehen haben. Wir lokalisieren die Angriffsziele. Darunter befinden sich auch Teile unserer Infrastruktur. Die Vermutung liegt nah: Die Angreifer haben keine Kunden, sondern uns ins Visier genommen.

Aufgrund dieser Erkenntnis schreiben wir Blackhole-Einträge. Dadurch wird das Ziel in unserer Infrastruktur unsichtbar und ist nicht mehr erreichbar - scheinbar gelöscht. Gute Entscheidung, denn so stellen wir sicher, dass die meisten Systeme zeitnah und zuverlässig wieder erreichbar sind. Die Lage entspannt sich, auch wenn der eigentliche Angriff erst in den kommenden Stunden erfolgt.

Traffic im Verlauf des Angriffs
Traffic im Verlauf des Angriffs

Der Angreifer konfrontiert unsere Systeme nun mit enormen Traffic-Mengen, die wir aber direkt blockieren können. Während der Sturm wütet, sind die allermeisten Kundenprojekte komplett erreichbar. Wir führen weitere Netzwerkanpassungen durch und kümmern uns um Kunden, die von den Blackholes betroffen sind. Diese Arbeiten werden das gesamte Wochenende weitergeführt. Unser Team ist rund um die Uhr im Einsatz, bearbeitet, kommuniziert und beobachtet den Traffic. 

Wer war vom Angriff betroffen?

Nachmittags bemerkten alle Kunden die Auswirkungen des Angriffs. Anschließend waren die Websites und Shops der Kunden offline, die vom Blackhole betroffen waren oder deren Projekte mit gesperrten Provider-Netzen sprechen wollten. Durch den Einsatz des ganzen Teams konnten wir im Laufe des Wochenendes die wenigen Kundenprojekte, die geblackholed waren, wieder Schritt für Schritt verfügbar machen.

Wie lange dauerte die Attacke?

Ein Angriff kommt selten allein. Auch das ist leider normal im Internet. Deshalb überrascht es uns nicht, dass die Hacker auch Tage danach immer wieder auf uns zielen. Die Intensität der Angriffe war und ist dabei genauso heftig, die Wirkung jedoch dank unserer Vorarbeit gering. Unsere Kunden bekommen von den Attacken in der Regel kaum etwas mit.

Was ist ein DDoS-Angriff?

Bei einer Distributed Denial of Service (kurz DDoS) Attacke überlasten Angreifer gezielt die Kapazitäten von Netzwerkressourcen, um die Systeme zum Erliegen zu bringen. Dafür stellen sie mit Hilfe von Bot-Netzwerken in kurzer Zeit eine enorme Anzahl an Anfragen an die angegriffene Webressource. 

Angriffe dieser Art gehören zum Internet-Alltag. Als Reaktion darauf haben wir zahlreiche Schutzmechanismen und ein engmaschiges Monitoring entwickelt. Von beidem profitiert jeder Kunde - unabhängig des gewählten Tarifs. Die Sicherheit ist für uns Standard und kein Zusatzpaket. Deshalb bekommst du in der Regel von den Angriffen nichts mit.

Seite down? So informiert Mittwald

Mittwald steht für Stabilität und Sicherheit. Für den Fall, dass im Rahmen deiner Projekte Mittwald-Services nicht erreichbar sind, sollte die Status-Seite deine erste Anlaufstelle sein. Hier informieren wir aktuell über mögliche Störungen. Weitere Fragen richtest du am besten direkt über Ticket oder Telefon an den Kundenservice. 

Ähnliche Artikel:

Betrüger üben emotionalen Druck auf ihre Opfer aus
Hosting

Social Engineering − Definition, Beispiele und wie du dich schützen kannst

Von Phishing bis Deep Fakes - die Methoden von Social Engineering sind omnipräsent. Lerne hier, was dahinter steckt und wie du dich schützen kannst.

Penetrationstest prüfen Webseiten auf Sicherheitsrisiken. Die Ergebnisse sind nicht immer eindeutig.
Hosting

Penetrationstests richtig auswerten

Die Auswertung eines Penetrationstests kann herausfordernd sein. Lies hier, worauf du achten solltest.

mittwald

Kontaktformular als Spam-Schleuder? Nicht mit uns!

Eure Kontaktformulare sollen nicht zweckentfremdet und von Spammern gekapert werden. Darum überprüfen wir die Formulare regelmäßig.

Kommentare

Benjamin Hagh Parast am
Howdy,

ich hatte über gefühlt 5 Tagen, täglich über ca 300 E-Mails von Jetpack erhalten.
Immer wieder hieß es Website online Website offline.
Die Kundenanrufe haben mich in meinem Urlaub begleitet.
Aber am Ende ging nichts verloren ausser meine Nerven.
Wie mann so schön sagt die Küken zählt mann am Ende des Jahres.

Es bleibt zu sagen das wir uns auf Mittwlad verlassen können und unsere
Mietserver gut behütet werden und das von Netzwerk-Profies.

Gute Arbeit!

Benjamin Hagh
Stefan Seidner-Britting am

Ich habe einen Cronjob laufen, der meine wichtigen Projekte alle 5 Minuten pingt. Deshalb habe ich die Ausfälle mitbekommen. Eure Status-Seite ist super, und auch dass ihr hier so offen über die Attacke berichtet. Danke an das ganze Team für die Sonderschicht!

Ilona Herr am
Hallo Mittwald Team,
das liest sich ja wie ein Krimi. Danke dass Ihr Euch so ins Zeug legt, das muss auch mal gesagt sein. :-)
Ilona Herr
Dominik am
Was ich vermisse sind wirkliche Zahlen und Fakten.
"tausend Mal so stark sind, wie bei einem üblichen DDoS."
- Was ist denn ein "üblicher DDos?
- Wie stark war der DDoS dieses Mal?
Auch die Grafik hat keinerlei Achsen und ist damit leider nicht brauchbar.

Mich würden die Zahlen dahinter interessieren. ;)
Sebastian Menacher am
Hallo Dominik,
deinen Wunsch kann ich gut verstehen. Aus Sicherheitsgründen können wir jedoch nicht weiter ins Detail gehen. Zahlen haben wir, genauso wie die Beschriftung der Achsen, bewusst nicht kommuniziert. Ich hoffe aber, dass du dennoch ein Gefühl für die Geschehnisse bekommen hast. Denn das ist unsere Intention hinter diesem Artikel.
Viele Grüße,
Sebastian
Maik am

Toller und offener Bericht!