Den englischsprachigen Text finden Sie weiter unten.
Stellungnahme zu den Ereignissen am Freitag den 14.11.2014:
Was war:
In der Nacht auf den 14.11.2014 wurden im Rechenzentrum der Wieske’s Crew GmbH (IRZ42) gehostete Server Opfer mehrerer massiver (sogenannter) DDoS-Attacken. Als Erstes wurde ein Kundenserver mittels einer Attacke auf Port 80 penetriert, anschließend folgten weitere Attacken auch gegen andere Server sowie gegen andere Ports.
Diese Angriffe führten dazu, dass unsere Verbindungen zum Internet (Upstreams) massiv überlastet wurden und auch die bei uns gehosteten Dienste anderer Kunden für längere Zeit sporadisch bis gar nicht erreichbar waren.
Da die Angriffe in der Nacht geschahen, konnte die initiative Kommunikation mit unseren Uplinkprovidern leider nicht zeitnah umgesetzt werden, was dazu führte, dass die angegriffenen Rechner nicht sofort identifiziert werden konnten. Erschwert wurde die Abwehr dadurch, dass nicht nur ein Kundenserver auf einem Port angegriffen wurde, sondern mehrere Server auf unterschiedlichen Ports den Angriffen ausgesetzt waren.
Die Identifikation der Angriffsziele ist deshalb zur Behebung des Problems wichtig, weil zur Abwehr der Attacke diese betroffenen IP-Adressen typischerweise „außerhalb“ des betroffenen Netzwerkes geblockt werden, um so eine Entlastung des betroffenen Netzes zu erreichen und die Erreichbarkeit der anderen Dienste wieder zu gewährleisten.
Nachdem die betroffenen Server (einer nach dem anderen) einwandfrei identifiziert wurden, konnten wir in Zusammenarbeit mit unseren Uplinks die Angriffe von unserem Netz fernhalten, wodurch unsere Erreichbarkeit wieder hergestellt wurde.
Eine Strafanzeige – gegen Unbekannt – wurde bei der Polizei Hamburg (Polizeikommissariat 31) gestellt. Die Wahrscheinlichkeit, den Urheber des Angriffes zu identifizieren läuft typischerweise leider gegen Null.
Unsere Reaktion:
Aufgrund der gewonnen Erfahrungen mit einem kaskadierten Angriff, konnten wir wichtige Informationen sammeln, um auch die Abwehr kaskadierten Angriffen auf unterschiedlichen Ziele (IP-Adressen und Port) besser abzuwehren. Dazu war es nötig die Zusammenarbeit mit unseren (seit 09.2014 neuen) Uplink-Kollegen zu verbessern. Wir sind aktuell dabei, die diesbezüglich optimierten technischen und kommunikativen Prozesse umzusetzen. Dazu gehört neben den technischen Prozessen auch die 24/7-Erreichbarkeit des direkten Netzwerkadministrators unserer Uplinks.
Außerdem werden wir – im Rahmen unseres Umzuges zum Jahreswechsel – im Bereich internes Netz/Uplinktechnik noch leistungsfähigere Technik einsetzen, welche uns weitere Möglichkeiten der Gefahrenabwehr ermöglichen wird. Und wir werden unsere Bandbreite im neuen Rechenzentrum noch weiter erhöhen, so dass wir dann auch in diesem Bereich noch mehr Sicherheit – als bereits vorhanden – vorhalten können.
Zusätzlich zu obigem, werden wir mit den Kunden, für welche ein Ausfall sehr hohe Kosten oder gar rechtliche Folgen verursachen kann, an Konzepten arbeiten um eine Redundanz über unsere Uplinks und IP-Adressbereiche hinweg anbieten zu können.
Mit freundlichen Grüßen – danke für ihr Vertrauen und ihr Verständnis
Ihre Wieske’s Crew GmbH
Statement regarding the inident on Friday, November 14 2014
What happened:
At the night to the 14th of November 2014, some of the servers hosted at the Wieske’s Crew GmbH data center were victim of a Distributed denial of Service (DDoS) attack.
First of all, the server of a specific customer has been attacked on port 80, after which the DDoS has been expanded against other servers and infrastructure systems as well.
This massive attack resulted in a massive overload on our upstream connections, which in turn resulted in periodically unreachable systems of our other customers.
Because the attacks started in the middle of the night, the communication to our uplink providers was not possible in a timely manner, so we were not able to identify the DDoS targets at an early stage. The fact, that the attacks expanded onto multiple servers and ports made it almost impossible to implement our initial countermeasures.
It is vital that the DDoS targets can be clearly identified, so one can block the affected IP addresses at uplink level to restore connectivity to the other services and customers.
After identifying the affected systems, we – with the help of our uplink providers – were able to block the attacks outside of our own backbone, which in turn resolved the problems caused.
We reported an offence against unknown at the local police station in charge. Unfortunately, the chances to identify the person(s) responsible for the attack is next to zero.
Our reaction:
Based on the experience with this cascaded attack, we were able to collect some significant information on how to fend off this type of attack in the future. First of all, we improved the communication with our (since Sep. 2014 new) uplink providers. At the moment, we are implementing these improved communication procedures, which does – among others – contains a direct 24/7 on-call connection to the network administration of our uplink providers.
Besides that, we are investing in more powerful and reliable network equipment, which will be implemented during the move to our new data center at the turn of the year. This will enable more capabilities of defending distributed attacks. Additionally, the total bandwidth of our redundant uplinks will also be raised.
Last but not least, we will develop concepts for high-level redundancy hosting for our mission-critical customers.
With kind regards, and thanks for your continued trust and understanding
Wieske’s Crew GmbH
