Die DDoS-Story

Bastian
25.10.2014 17 1:02 min

Die DDoS-Story.

Am 23. und 24.10. waren wir Opfer mehrerer konzertierten DDoS-Attacken. Diese hatten einen kriminellen Hintergrund: Es handelte sich um einen Erpressungsversuch. Die DDoS-Attacken führten dazu, dass unsere Kunden zeitweise gar nicht telefonieren konnten. Diese Störung war die größte, die wir jemals hatten.

Die Geschehnisse kommentierten wir live in zwei ständig aktualisierten Posts in unserem Blog. Die zahlreichen Kommentare und Nachfragen auf twitter, facebook und in unserem Blog brachten uns auf die Idee, die gesamte Geschichte in einem längeren Artikel aufzubereiten und auf diese Weise möglichst viele Fragen zu beantworten.

Der Artikel ist am Ende doch ziemlich umfangreich geworden. Wir glauben, dass er auch für andere von DDoS-Attacken betroffene (und nicht nur für sipgate-Kunden) interessant sein dürfte. Deshalb haben wir ihn graphisch etwas aufbereitet und auf der Plattform medium veröffentlicht.

Noch ein Hinweis: Wir haben uns bemüht ihn so zu verfassen, dass er auch für Laien verständlich ist – deshalb taucht er auch nicht so megatief in die Technik ein. Dazu schreiben wir demnächst mal was, wenn unsere Technik wieder etwas mehr Luft hat…

17 Kommentare


Sebastian:

Moin,

also die „medium“ Webseite sieht zwar deutlich Hipster-mäßiger aus als das Blog hier, und gefällt den Sipgate’lern deshalb besonders, aber die Informationen zum DDoS sind ja wohl eher bei 0. Im Prinzip eine Aneinanderreihung von „geht“ „geht nicht“ Twitter Posts. Wenn man aus ermittlungstechnischen oder Wettbewerbsgründen nichts dazu sagen kann oder will, sollte man das einfach so kommunizieren.

Folgendes wurde alles nicht gesagt: Wo kam der Angriff her? Wie groß war? („kleiner roter Klecks und dann mittelgroßer roter Klecks“ ist nicht sehr präzise). Auf welcher Ebene wurde angegriffen? Z.B. UDP Flood oder direkt SIP Dienste? Was waren Gegenmaßnahmen? Wie will man sich in der Zukunft besser absichern?

Wenn man keine dieser Fragen beantworten kann/will muss man auch nichts schreiben…

antworten

Sebastian:

@Sebastian:

Hmm, also so schlimm finde ich den Artikel nun auch wieder nicht. Es steht ja auch die Bemerkung drunter, dass nochmal ein ‚technischer‘ Bericht folgt.

Mit den allerletzten Details würde ich dabei aber auch nicht rechnen, denn es soll ja auch nicht eine Anleitung für weitere Angriffe werden oder die komplette Infrastruktur von sipgate offen legen. Das würde im übrigen auch kein Mitbewerber tun, noch würde ich das für meine Infrastruktur machen.

Man kann ja zur Kommunikation von simquadrat geteilter Meinung sein – ich für mich finde Sie absolut in Ordnung und wüsste ehrlich gesagt auch gar nicht, was man sonst noch viel mehr machen könnte. Ich würde es für mein Unternehmen zumindest genauso angehen. Transparenz da wo es auch vertretbar ist.

Lasst uns fair gegenüber sipgate bleiben – da wo es Technik gibt, wird es auch immer mal Probleme geben, egal wieviel Mühe sich alle geben.

Trotz des bereits jetzt schon entstanden finanziellen Schaden wird die sipgate-Gruppe bestimmt noch ein paar weitere Euro in die Hand nehmen und sich bei allen Kunden irgendwie erkenntlich zeigen- auch wenn die Ursache in erster Linie durch Kriminelle verursacht wurden.

Besten Gruß,
Sebastian

antworten

Thomas:

@Sebastian1: „Wo kam der Angriff her?“
War die frage ernst gemeint? Die Antwort ergibt sich bereits aus dem Begriff DDoS, speziell dem ersten „D“.

@Sipgate: Ich finde es vorbildlich, wie Ihr mit der ganzen Situation umgegangen seid. Da koennen sich andere Firmen eine Scheibe abschneiden.

antworten

WIMPy:

Leider kann ich das Timing nicht ganz nachvollziehen.
Am Doinnerstag ging schon ab 03:10 nichts mehr.
Auch den Freitagabend muss ich etwas relativieren. Da gab es zwar scheinbar keinen Ausfall, wohl aber Paketverluste, was beim RumVOIPen ja schon schlimm genug ist.

Aber schon die letzten 2-3 Wochen habe ich öfter kleine Ausfälle und einen mittleren bemerkt, was nach 2-3 problemlosen Jahren schon deutlich auffällig war. Waren das schon die ersten Ansätze?

antworten

matsusaka:

man beachte den letzten abschnitt der ddos-story:

„Während SIPGATE GO den Festnetz-Telefonanschluss zu Hause ersetzt, bietet simquadrat Mobilfunk mit zahlreichen Innovationen und neuen Funktionen für anspruchsvolle Privatkunden.“

antworten

Dennis:

Hallo Sigater(innen),

ich fasse mich mal kurz – ok ein Netz vollkommen lahm legen ist hart und sollte „eigentlich“ nicht vorkommen. ABER – neben vielen Dingen habt ihr eines seht gut gemacht – die schnelle und weitestgehend transparente Krisenkommunikation!

Die kenne ich in meinem Umfeld eher weniger.

Ich denke ihr seid innovativ genug, um auch dieses Problem für die Zukunft in den Griff zu bekommen.

Beste Grüße aus München

antworten

DDoS-Attacken auf sipgate | sipgate Status:

[…] Alle Informationen zu den DDoS-Attacken der vergangenen Tage finden Sie in unserem Blog. Zum Artikel […]

antworten

LeereDose:

Stehen doch da RedBull-Dosen auf den Tischen. – So kann das ja nichts werden. *fg*

Ich hätte ja jetzt Äpfel, Bananen, Birnen etc. erwartet. :P

antworten

Matthias Vor dem Berge:

Hallo,

Ich möchte ein Danke an Sipgate loswerden.

Natürlich habe auch ich mich sehr über die Ausfälle des Dienstes geärgert.
Doch sicher werden viele Leute hart gearbeitet haben um den Dienst wieder flott zu machen.
Die Informationspolitik von Sipgate finde ich gut. Viele (größere) Unternehmen hätten nicht so ausführlich informiert!

Also Vielen Dank und weiter so!!!

antworten

EntireNet:

Unsere Sipgate Team Mobilfunk Teilnehmer können sich immer wieder mal nicht im Netzwerk registrieren. Aus- und wieder einschalten hilft i.d.R., aber wenn man nicht ständig auf das Telefon schaut fällt es nicht auf. :(

Auch diese Nachricht hier konnte ich nur über WiFi schreiben…

antworten

Michael:

Habe ebenfalls auf meheren Rufnummern seit dem 27.10 bis 29.10. ständige Probleme mit der Anmeldung. im Moment funktioniert auch ohne rest der Fritzbox wieder alles.
Das kann doch kein Dauerzustand sein!

antworten

Sven Dovermann:

Schon vor einiger Zeit hatten wir das Problem, dass Gespräche plötzlich ohne erkennbaren Grund abgebrochen wurden. Bezüglich dieses Problems stand ich bereits mehrfach mit Sipgate in Kontakt, jedoch lief es ständig darauf hinaus, dass der Support Mitarbeiter feststellte, dass das Gespräch „korrekt“ von unserer Seite abgebrochen wurde. Da dies nicht der Fall war, blieb alleine die Option, dass die Gespräche entweder durch einen Softwarebug der Telefone, oder durch einen Fehler im Netzwerk (Router, Switch oder was auch immer) beendet wurden.

Diese miseriösen Abbrüche traten dann vor einigen Wochen nicht mehr auf (ohne irgendeine Änderung unsererseits). Seit letzter Woche haben wir es jedoch wieder vermehrt (2-3 mal am Tag) mit plötzlichen Abbrüchen zu tun. Die Gespräche brechen an unterschiedlichen Telefonen und sogar an unterschiedlichen Standorten ab, deswegen bin ich mir ziemlich sicher, dass der Fehler nicht bei uns, sondern bei Sipgate zu suchen ist. Sowohl die Telefone als auch sämtliche Netzwerkkomponenten wurden auf den aktuellen Stand gebracht, und mehrfach rebootet.

Sind wir hier alleine mit diesem Problem, oder können andere User diese Problematik (Gespräche brechen ohne erklärbaren Grund ab) nachvollziehen, bzw. können von ähnlichen Problemen berichten?

antworten

Sebastian Lindow:

Ich möchte hier nicht viel loswerden, da ich der Meinung bin die Vorbereitung auf solche Angriffe hätten man etwas besser treffen können bzw. hoffe ich nun das bessere Sicherheit gegeben ist.
Ob und in wie weit nun mit einer vernünftigen Telefonie zu rechnen ist muss die Zeit zeigen. Das Vertrauen ist sehr angeknackst aber da wir sonst immer sehr zufrieden waren und Sipgate es nun besser machen will werden wir unsere Telefonie noch ein letztes Mal in die Hände Sipgates geben und hoffe das sich bis auf vereinzelt kleine Ausfälle die Sipgate sowieso hat keine größeren folgen und wenn dann bitte die Weiterleitung funktioniert.

Gute Arbeit an die Technik und auch an Sipgate die Kommunikation war zwar oftmals fehlerhaft aber zu mindestens gab es welche die es erlaubten als Kunde mit zu fiebern wann das Kabel wieder reingesteckt wird.

@Sven Dovermann
Diese Abbrüche sind bei uns auch ab und an mal vorgekommen aber nicht in dieser Häufigkeit. Mittlerweile gibt es keine Abbrüche mehr obwohl ich sagen muss Lieber ab und an mal ein Abbruch bevor bei fast jedem Telefonat ein Piepen für etwas 1-2 Sekunden zu hören ist.

Bei uns scheint soweit alles wieder zu funktionieren was ich mich nur frage ist,
seit Beginn der Mobilfunkgeschichte bei Sipgate gibt es ab und an bei Telefonaten ein Piepen und kurzes nichts. Als wenn jemand auf eine Taste drückt oder ein Minutenton zu hören ist. Beides ist natürlich nicht passiert weder hat mein iPhone und auch die gegenstelle ein Minutenton an noch ist jemand auf eine Taste gekommen. Also es Piept sehr oft bei Sipgate zu mindestens im Mobilfunk im Voip Bereich ist es mir noch nicht aufgefallen.

antworten

Micha:

Die letzte Woche war wirklich sehr ereignisreich, aber so langsam kommen wir tatsächlich etwas zur Ruhe. Wie versprochen werden wir noch einen Bericht mit Hintergrundinfos und der Chronologie der Attacke bringen.
Ich wollte aber auch kurz noch auf die Fragen hier im Blog eingehen, die nichts mit der Attacke zu tun hatten: Abbrüche oder Pieptöne, die vor dem DDoS-Angriff auftraten, sollten geklärt werden und unsere Kundenbetreuung arbeitet in solchen Fällen eng mit der Technik zusammen. Soweit ich weiss, gibt es zur Zeit keine akuten Probleme diesbezüglich, daher würde ich Sie bitten, einfach mal die Kundenbetreuung zu kontaktieren.

antworten

Dieter:

@Sven Dovermann
@Micha

Ich kann bestätigen, daß dies Abbrüche auch bei mir immer wieder auftreten. In letzter Zeit allerdings seltener, doch war dies manches Mal schon recht mühsam. Manches Mal war es auch so, daß der andere einen nicht mehr hörte bzw. nur noch bruchstückhaft. Glücklicherweise ist es besser geworden und ich hoffe, es bleibt auch so.
Hinsichtlich der Kommunikation noch ein Hinweis:
Da sipgate von jedem Anbieter auch eine Email hat, wäre es hilfreich gewesen, jedem User eine Email mit dem Problem der Nichterreichbarkeit durch die DDoS – Attacke zu schicken. Denn wenn die Homepage auch nicht erreichbar ist, was ja der Fall war, nützt auch ein im Blog enthaltener Beitrag nichts. Daß dieser Blog existiert, habe ich erst mitbekommen, nachdem die Homepage wieder erreichbar gewesen ist.

antworten

Micha:

@Dieter
Wir verbessern unsere Infrastrukur kontinuierlich, unter anderem, um Probleme wie Abbrüche auszuschließen. Daher ist es wirklich hilfreich, wenn Sie sich bei solchen Problemen bei uns melden (am besten mit genauen Details zu dem Vorfall). Dies hilft uns wirklich sehr.
Bei der Kommunikation zu den Attacken haben wir auch über E-Mails nachgedacht. Das wir es letztlich nicht getan haben wird intern auf jeden Fall auch noch besprochen werden. Dagegen spricht zum Beispiel, dass man bei einer DDoS-Attacke nicht mehrere hunderttausend Kunden anschreiben will, die dann gemeinsam und gleichzeitig auf die Seiten zugreifen wollen. Könnte man natürlich in der Mail thematisieren und dadurch eventuell verhindern. Aber Sie sehen, es gibt bei solchen Dingen viel zu berücksichtigen und wir haben aus dem aktuellen Fall viel gelernt. Hoffentlich wird es nie wieder nötig sein, aber wenn, sind wir jetzt auf jeden Fall schlauer:)

antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.