Postmortem: DDoS-Angriffe 13.05.2023

    Zwischen 23:40:27 und 23:55:25 am 13.05.2023 (gestern) wurden mehrere DDoS-Angriffe auf unseren Server erkannt.

    Auswirkungen des Angriffes waren einige Sekunden auf unserem DarkRP-Server zu verspüren.

    Analyse des Angriffs

    Im folgenden Bild ist ein kurzer Ausschnitt des Angriffes visualisiert (ab 23:39 Uhr):

    Y-Achse: Eingehender Verkehr in GBit/s

    X-Achse: Zeit in Sekunden

    W2YVTey.png


    Der Angriff war auf zwei Zeitabschnitte aufgeteilt:

    • 23:40:27 - 23:42:36 (~900 MBit/s)
    • 23:46:38 - 23:55:25 (~9.830 MBit/s)


    Ebenfalls gab es einen Angriff am Folgetag, 14.05.2023 (heute):

    • 13:21:35 - 13:23:43 (~850 MBit/s)


    Der Angriff ging von ca. 4 Servern aus. Gehostet bei:

    • Google Cloud Platform
    • Microsoft Azure
    • OVH

    Technisch war der Angriff keine Sensation. Daher ist von einem Booter-Service auszugehen (hoch spekulativ), der für ein paar Euro Taschengeld gemietet wurde.

    Es waren 4 Server beteiligt. Teilweise sahen alle Pakete exakt identisch aus oder hatten dieselbe Größe.


    aZWeSxm.png


    Vergleichen wir mit dem Angriff vom 18.02.2023 war die Bandbreite des Angriffs dieses Mal höher, jedoch weniger verteilt.


    7dsAs4e.png



    Lösungen

    Unsere Sicherheitsmaßnahmen konnten im Gegensatz zum vorherigen Angriff innerhalb 5 Sekunden eingreifen. Anschließend waren keine größeren Auswirkungen mehr auf dem Server spürbar (nach Aussage von Chat-Nachrichten und Usern/Teammitgliedern). Kurz vor dem 2. Angriff waren ebenfalls für einige Sekunden, bevor der Schutz eingegriffen hat, Auswirkungen spürbar. Alle Maßnahmen fanden voll automatisiert statt und erforderten keinen Eingriff.


    Lessons learned


    Die Zeit zwischen Beginn des Angriffs und Eingriff der Schutzmaßnahmen wurde noch einmal deutlich verkürzt. Ebenfalls wurden weitere Optimierungen am System vorgenommen.


    Habt noch einen schönen Sonntag :red_heart: