Die DDoS-Story

Am 23.10.2014 und 24.10.2014 führten Unbekannte DDoS-Attacken auf unsere Infrastruktur durch. Sie forderten Lösegeld. Mit hoher krimineller Energie und erheblichem technischen Aufwand schafften sie es, unsere Webseiten und die Telefonie so zu stören, dass unsere Kunden und wir selbst zeitweise nicht erreichbar waren. An dieser Stelle zeichnen wir die Geschehnisse nach und möchten anderen Betroffenen Tipps und Informationen an die Hand geben.

Der Anfang

Die erste Welle

Die zweite Welle

Die dritte Welle

So informierten wir unsere Kunden

Das meldete die Presse

So reagierten die Kunden

https://twitter.com/_derphil/status/525561965138415616
https://twitter.com/Juristentwit/status/525569798587944960
https://twitter.com/KIWIKI/status/525564045815209984
https://twitter.com/splishsplash/status/525596404472111104

Die Erpresser

Warum haben wir das Lösegeld nicht bezahlt?

Was ist eine DDoS-Attacke überhaupt?

Wer macht DDoS Attacken und warum?

Hätte sipgate sich nicht dagegen vorher schützen können?

Wie wir uns verteidigten.

  1. sipgate ist im sogenannten Autonomen System (AS) 15594 des Schwesterunernehmens netzquadrat zuhause. Das Internet besteht aus Autonomen Systemen, die miteinander verbunden sind (mehr unter https://de.wikipedia.org/wiki/Internet#Technik ). Das AS15594 verfügt über drei Verbindungen zu Peeringzentren (DE-CIX (Frankfurt), ECIX (Düsseldorf), LINX (London) an denen sich die Betreiber der AS direkt zusammenschalten. Über diese Verbindungen tauscht netzquadrat mit einem Großteil der deutschen Anbieter IP-Pakete direkt — also von Provider zu Provider. Zu ausgewählten Providern, mit denen beispielsweise VoIP-Verkehre getauscht werden, besteht eine direkte physikalische Glasfaserverbindung, damit die zu den Gesprächen gehörenden IP-Pakete nicht über das “öffentliche” Internet transportiert werden müssen. Die verbleibenden IP-Adressen, die nicht über diese Verbindungen erreichbar sind (beispielsweise die der Telekom Deutschland, die eine Zusammenschaltung verweigert), werden über sogenannte Transit-Provider erreicht. Zu diesen unterhält AS15594 vier weitere, redundant geschaltete Verbindungen.
  2. Führt nun eine DDoS-Attacke dazu, dass die Menge der auf sipgate gerichteten IP-Pakete die Kapazität unserer Außenanbindung übersteigt, so können nicht mehr alle Pakete übertragen werden. Genau das war der Fall — bei immerhin einer zweistelligen Anzahl von Glasfaser-Verbindungen.
  3. Um diese Art des Angriffs abzuwehren, haben wir uns eines Dienstleisters bedient, der ein Content-Delivery-Network (CDN) in einem eigenen AS betreibt und über eine größere Kapazität in der Außenanbindung verfügt. Dieses AS hat dann für die Zeit des Angriffs die zu sipgate gehörenden IP-Adressen an das Internet angebunden und den Angriff soweit möglich gefiltert. Den gefilterten Verkehr konnten wir dann weiter zu sipgate übertragen, ohne dass die Kapazität unserer Anbindung gesprengt wurde.
  1. Neben der Verstopfung unserer Verbindungen zu anderen Providern wurden gezielt einzelne Systeme angegriffen. Es ist kein trivilales technisches Problem, die Kapazität eines IT-Systems vorherzusagen. In aller Regel arbeiten IT-Profis daher mit Erfahrungswerten, Hochrechnungen, Tests und sehr (!) großen Sicherheitsmargen. Es ist aus Kostengründen nicht möglich, beliebige Kapaziäten bereitzuhalten, daher muss ein Angriff, der die Kapazitätsgrenze eines bestimmten Systems sprengt, gezielt adressiert werden. Auch hier müssen Filter definiert werden, die möglichst wenige Einschränkungen verursachen und möglichst viel des bösartigen Verkehrs filtern.
  2. An dieser Stelle spielt die Vorbereitung eine entscheidende Rolle. Filterregeln, die die absolut nötigen IP-Pakete durchlassen, können nämlich bereits vor einem Angriff definiert werden.

Sind bei einer DDoS-Attacke Kundendaten in Gefahr?

Wie hoch war der Schaden?

Wie geht es jetzt weiter?

Fragen betroffener sipgate-Kunden

Warum kam die Ansage “Diese Rufnummer ist nicht vergeben”?

Warum griff meine Weiterleitung nicht?

Wer ist sipgate überhaupt?

--

--

Innovative Telefonie für zu Hause, unterwegs und das Büro.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
sipgate

Innovative Telefonie für zu Hause, unterwegs und das Büro.