Postmortem: DDoS-Angriffe 18.02.2023

  • 2 Kommentare
  • 585 Mal gelesen

Zwischen 16:20 und 18:03 am 18.02.2023 (gestern) wurden mehrere DDoS-Angriffe auf unseren Server erkannt.

Auswirkungen des Angriffes waren zu gewissen Zeitabständen auf unserem DarkRP-Server zu verspüren.

Analyse des Angriffs

Im folgenden Bild ist ein kurzer Ausschnitt des Angriffes visualisiert (ab 16:19 Uhr):

kXqtdTy.png


Im Mittel erhielt der Server ~170.000 Pakete pro Sekunde mit einer Bandbreite von ~130 Mbit pro Sekunde. Der Höchstwert waren 325 Mbit pro Sekunde.


Durchschnittliche Größe der Pakete: 95 Bytes

Anzahl der Pakete pro Sekunde (grob): 170.000

Bandbreite: 170000 * 95 * 8 / 1000 / 1000 = 129,2


Der Angriff ging von über 32.000 Endpunkten aus (abzüglich legitimer Verbindungen):

IRzr3eq.png


Genutzt wurde ein UDP-Flood-Angriff bei welchem eine große Menge an Paketen unkontrolliert über das UDP-Protokoll an den Server gesendet werden. Der Ziel-Port war 27015, welcher UnitedRP zugewiesen ist. Ziel war es also den UnitedRP (Also den SRCDS-Prozess) auszulasten, anstatt den Server. Hierbei wurde das ISAKMP-Protokoll missbraucht. Vermutlich wurden die IP-Adressen gespoofed oder es handelte sich um kompromittierte Server, die Teil eines Botnetzwerkes sind.


Ursache

Der standardmäßige Schutz der Anti-DDoS-Infrastruktur von unserem Host (OVH) konnte den Angriff in seiner Form nur teilweise abwehren (danke dafür). Sicherheitsmaßnahmen, welche von unserer Seite getroffen wurden, waren nicht vollständig aktiv.


Lösungen

Unsere Sicherheitsmaßnahmen konnten erst um 18:02 Uhr manuell aktiviert werden.

Mit der manuellen Aktivierung dieses Schutzes, konnte der Server erfolgreich alle überflüssigen Pakete droppen und es waren auf UnitedRP keine Auswirkungen mehr zu spüren. Es kam zu keinen Interface-Overruns. Der Angriff lief noch bis 18:03 weiter und hörte dann abrupt auf.


Lessons learned

Mit jedem Angriff können wir anhand der gesammelten Analysedaten unseren Schutz immer weiter verbessern.

Durch den gestrigen Angriff konnten wir einige zusätzliche Schutzmaßnahmen treffen. Ebenfalls sind uns einige Fehler aufgefallen, welche wir nachgebessert haben.


Externer Inhalt youtu.be
Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.


Habt noch einen schönen Sonntag :red_heart:

Gefällt mir 4 Traurig 1

  • Also rein theoretisch könnte es immer wieder passieren oder wie?

    • Genau. Ist leider ein gängiges Problem mit dem vor allem größere Organisationen zu Kämpfen haben. Da sind wir nicht die einzigen.