DDoS-Angriff - Was nun?

Bei einem DDoS-Angriff geht es primär darum, dem Angreifer zu signalisieren, dass er sein Ziel nicht erreicht. Halten Sie genügend lange durch, wird der Angreifer sich typischerweise von Ihnen abwenden.

Protokollieren Sie den Angriff (Netflows, Server-Logs, Mail-Verkehr mit den Erpressern usw.). Sie sind für eine spätere Analyse und allfällige Strafanzeige gegen Unbekannt wichtig.

Stellen Sie sicher, dass Sie minimale Informationskanäle gegen aussen offen halten können, z. B. ein statischer Webauftritt, auf dem Sie Ihre Kunden informieren und Ihnen alternative Kontaktmöglichkeiten (z. B. Telefon, Fax, E-Mail) anbieten.

Analysieren Sie den Angriff und legen Sie eine Abwehrstrategie fest:

Ist der Ursprung der Attacke eine beschränkte Anzahl von IP-Adressen, dann genügt evtl. das Filtern dieser Adressen an Ihrem Router oder Firewall. Übersteigt das Datenvolumen die Ihnen zur Verfügung stehende Bandbreite, dann muss dies Ihr Internet Service Provider (ISP) erledigen.

Verschieben Sie gegebenenfalls Ihr angegriffenes System in ein anderes Subnetz (bei rein IP-basierten Angriffen). Typischerweise suchen Sie hier eine Lösung in enger Zusammenarbeit mit Ihrem ISP und/oder einem spezialisierten DDoS-Mitigation-Provider.

Es handelt sich um eine Attacke, deren Source-IP-Adressen wahrscheinlich gefälscht sind: Dies ist typischerweise bei SYN-, UDP-, BGP- und SNMP-Flooding der Fall. Ein Filtern der IP-Adressen macht hier keinen Sinn und kann sogar legitime Benutzer aussperren. Typischerweise suchen Sie hier eine Lösung in Zusammenarbeit mit Ihrem ISP. Er kann diesen Verkehr umlenken und ausfiltern. Dazu sollten Sie aber vorher schon wissen, welche Protokolle bei Ihnen eingesetzt werden und welche schadlos ausgefiltert werden können. Öffentliche Auftritte beschränken sich in der Regel auf TCP-basierte Protokolle (HTTP, HTTPS, SMTP etc.) so dass state-less Protokolle wie UDP bedenkenlos gefiltert werden können (evt. Ausnahme: DNS).

Angriffe auf eine Applikation: Hier wird Ihre Applikation durch eine grosse Anzahl von (komplexen) Anfragen lahmgelegt. Die Attacken nutzen in der Regel TCP als Netzwerk-Protokoll. Die Absender Adresse ist also nur schwer fälschbar und kann daher nach diversen Kriterien gefiltert werden.

Attacken auf das SSL/TLS Protokoll: Mögliche Abhilfe ist das Terminieren der SSL-Verbindung bei einem Cloud-Dienst, der die gefilterte Verbindung danach an Ihre Systeme weiterreicht.

Falls sich der Grossteil der Kundschaft in bestimmten Ländern befindet, kann nach GEO-IP gefiltert bzw. priorisiert werden. So bleibt der Dienst möglichst lange verfügbar, obwohl vielleicht der eine oder andere legitime Benutzer ausgefiltert bzw. niedrig priorisiert wird.

Stellen Sie sich darauf ein, dass der Angreifer versuchen wird, sich auf Ihre Abwehrmassnahmen einzustellen und dass er neue Taktiken anwenden wird. Analysieren Sie in einem solchen Fall den DDoS erneut und wenden Sie entsprechende Gegenmassnahmen an.

Melden Sie den Vorfall an das BACS und erstatten Sie Anzeige bei der zuständigen Polizei, wegen (versuchter) Datenbeschädigung (Art. 144bis Strafgesetzbuch) und gegebenenfalls (versuchter) Erpressung (Art. 156 Strafgesetzbuch). Eine Datenbeschädigung liegt auch dann vor, wenn Daten durch einen Angriff über eine gewisse Zeit nicht verfügbar und deshalb unbrauchbar sind.

Hinweise zur Zahlung von Lösegeldern

Das BACS rät dringend davon ab, auf die Forderungen der Erpresser einzugehen.

Sollten Sie dennoch das Bezahlen von Lösegeld in Erwägung ziehen, empfiehlt das BACS dringend, diese Schritte mit der Kantonspolizei zu diskutieren.

Weiterführende Informationen

Präventive Massnahmen

Massnahmen zum Schutz vor DDoS-Angriffe