- Protokollieren Sie den Angriff (Netflows, Server-Logs, Mail-Verkehr mit den Erpressern usw.). Sie sind für eine spätere Analyse und allfällige Strafanzeige gegen Unbekannt wichtig.
- Stellen Sie sicher, dass Sie minimale Informationskanäle gegen aussen offen halten können, z. B. ein statischer Webauftritt, auf dem Sie Ihre Kunden informieren und Ihnen alternative Kontaktmöglichkeiten (z. B. Telefon, Fax, E-Mail) anbieten.
- Analysieren Sie den Angriff und legen Sie eine Abwehrstrategie fest:
Ist der Ursprung der Attacke eine beschränkte Anzahl von IP-Adressen, dann genügt evtl. das Filtern dieser Adressen an Ihrem Router oder Firewall. Übersteigt das Datenvolumen die Ihnen zur Verfügung stehende Bandbreite, dann muss dies Ihr Internet Service Provider (ISP) erledigen.
Verschieben Sie gegebenenfalls Ihr angegriffenes System in ein anderes Subnetz (bei rein IP-basierten Angriffen). Typischerweise suchen Sie hier eine Lösung in enger Zusammenarbeit mit Ihrem ISP und/oder einem spezialisierten DDoS-Mitigation-Provider.
Es handelt sich um eine Attacke, deren Source-IP-Adressen wahrscheinlich gefälscht sind: Dies ist typischerweise bei SYN-, UDP-, BGP- und SNMP-Flooding der Fall. Ein Filtern der IP-Adressen macht hier keinen Sinn und kann sogar legitime Benutzer aussperren. Typischerweise suchen Sie hier eine Lösung in Zusammenarbeit mit Ihrem ISP. Er kann diesen Verkehr umlenken und ausfiltern. Dazu sollten Sie aber vorher schon wissen, welche Protokolle bei Ihnen eingesetzt werden und welche schadlos ausgefiltert werden können. Öffentliche Auftritte beschränken sich in der Regel auf TCP-basierte Protokolle (HTTP, HTTPS, SMTP etc.) so dass state-less Protokolle wie UDP bedenkenlos gefiltert werden können (evt. Ausnahme: DNS).
Angriffe auf eine Applikation: Hier wird Ihre Applikation durch eine grosse Anzahl von (komplexen) Anfragen lahmgelegt. Die Attacken nutzen in der Regel TCP als Netzwerk-Protokoll. Die Absender Adresse ist also nur schwer fälschbar und kann daher nach diversen Kriterien gefiltert werden.
Attacken auf das SSL/TLS Protokoll: Mögliche Abhilfe ist das Terminieren der SSL-Verbindung bei einem Cloud-Dienst, der die gefilterte Verbindung danach an Ihre Systeme weiterreicht.
Falls sich der Grossteil der Kundschaft in bestimmten Ländern befindet, kann nach GEO-IP gefiltert bzw. priorisiert werden. So bleibt der Dienst möglichst lange verfügbar, obwohl vielleicht der eine oder andere legitime Benutzer ausgefiltert bzw. niedrig priorisiert wird.