•  

DDoS-Incident-Response - Ein Bericht von der Front

Im Juni hatten wir mit einem DDoS-Vorfall zu tun, der unserem Kunden schon mehrere Tage lang massiv Probleme bereitete. Eine Analyse unserseits zeigte, dass der Angreifer über ein hohes Skill-Level verfügte und mit weiteren Angriffen zu rechnen ist. Wir übernahmen das Incident-Response-Handling und die Sofortabwehr, mit dem Ziel, die ECommerce-Plattform zu einem Cloudanbieter mit automatisiertem Schutz zu migrieren. In der zeit unseres Incident-Handlings kam es zu keinen weiteren nennenswerten Störungen, nach 5 Tagen war das Ziel erreicht, und die Angriffe wurden durch die Mitigationslösung abgewehrt.

Dieser Beitrag ist in stark verkürzter Form - nur Auszüge. Die weiterführende URL finden Sie am Beitragsende (Redaktion)!

Tag 0

Mitte Juni (2019) erreichte uns der Hilferuf eines Kunden: die ECommerce-Plattform wurde mittels einer niederschwelligen DDoS-Attacke angegriffen, das Problem wäre eigentlich unter Kontrolle, ob wir uns das Ganze aber mal ansehen könnten.

Tag 1

Um kurzfristig die Abwehr zu koordinieren und so schnell wie möglich eine Mitigationsstrategie zu erarbeiten, übernahmen wir das Incident-Response-Handling und bauten über die Supportabteilung des Rechenzentrums, in dem die Server standen, eine 24/7 Eskalationskette auf, um bei etwaigen Ausfällen sofort die entsprechenden Personen alarmieren zu können.

Tag 2

Am späten Nachmittag des 2. Tages gingen die echten Angriffe weiter. Diesmal nicht nur Testangriffe, sondern schon etwas mehr Dampf, beteiligt waren knapp 200 IPs, die alle Brasilien stammten.

Tag 3

Anhand der IPs, die wir aus den Angriffswellen extrahierten, analysierten wir, WAS denn da überhaupt angreift. Wir sahen auch hier wieder das Pattern, dass die Bots jeweils immer nur kurz wirklich aktiv waren und sich in den jeweiligen Angriffswellen abwechselten. Insgesamt waren 300 IPs beteiligt, die alle eins gemeinsam hatten: Mikrotik-Router.

Tag 4

Im Laufe des 4 Tages liefen die Angriffe aus allen Regionen weiter.

Tag 5

  • Lessons learned
  • Epilog



Mehr und ausführlich hier:
Opens external link in new windowhttps://zero.bs/ddos-incident-response-ein-bericht-von-der-front.html

Opens external link in new windowhttps://zero.bs/DFIR-incident-response-ddos-serverhacks-ongoing-attacks.html

 

Autor: Markus Manzke, CTO, zeroBS

Diesen Artikel empfehlen