Zwischen 16:20 und 18:03 am 18.02.2023 (gestern) wurden mehrere DDoS-Angriffe auf unseren Server erkannt.
Auswirkungen des Angriffes waren zu gewissen Zeitabständen auf unserem DarkRP-Server zu verspüren.
Analyse des Angriffs
Im folgenden Bild ist ein kurzer Ausschnitt des Angriffes visualisiert (ab 16:19 Uhr):
Im Mittel erhielt der Server ~170.000 Pakete pro Sekunde mit einer Bandbreite von ~130 Mbit pro Sekunde. Der Höchstwert waren 325 Mbit pro Sekunde.
Durchschnittliche Größe der Pakete: 95 Bytes
Anzahl der Pakete pro Sekunde (grob): 170.000
Bandbreite: 170000 * 95 * 8 / 1000 / 1000 = 129,2
Der Angriff ging von über 32.000 Endpunkten aus (abzüglich legitimer Verbindungen):
Genutzt wurde ein UDP-Flood-Angriff bei welchem eine große Menge an Paketen unkontrolliert über das UDP-Protokoll an den Server gesendet werden. Der Ziel-Port war 27015, welcher UnitedRP zugewiesen ist. Ziel war es also den UnitedRP (Also den SRCDS-Prozess) auszulasten, anstatt den Server. Hierbei wurde das ISAKMP-Protokoll missbraucht. Vermutlich wurden die IP-Adressen gespoofed oder es handelte sich um kompromittierte Server, die Teil eines Botnetzwerkes sind.
Ursache
Der standardmäßige Schutz der Anti-DDoS-Infrastruktur von unserem Host (OVH) konnte den Angriff in seiner Form nur teilweise abwehren (danke dafür). Sicherheitsmaßnahmen, welche von unserer Seite getroffen wurden, waren nicht vollständig aktiv.
Lösungen
Unsere Sicherheitsmaßnahmen konnten erst um 18:02 Uhr manuell aktiviert werden.
Mit der manuellen Aktivierung dieses Schutzes, konnte der Server erfolgreich alle überflüssigen Pakete droppen und es waren auf UnitedRP keine Auswirkungen mehr zu spüren. Es kam zu keinen Interface-Overruns. Der Angriff lief noch bis 18:03 weiter und hörte dann abrupt auf.
Lessons learned
Mit jedem Angriff können wir anhand der gesammelten Analysedaten unseren Schutz immer weiter verbessern.
Durch den gestrigen Angriff konnten wir einige zusätzliche Schutzmaßnahmen treffen. Ebenfalls sind uns einige Fehler aufgefallen, welche wir nachgebessert haben.
Habt noch einen schönen Sonntag
Khabib
Also rein theoretisch könnte es immer wieder passieren oder wie?
Samuel
Genau. Ist leider ein gängiges Problem mit dem vor allem größere Organisationen zu Kämpfen haben. Da sind wir nicht die einzigen.