Erneute DDoS-Attacke am 24.10.2014

Jens
24.10.2014 81 4:20 min

Am Morgen des 24.10.2014 fand eine zweite Welle von DDoS-Attacken auf sipgate statt (zur ersten Welle siehe Blogeintrag vom 23.10.2014). Unsere Massnahmen haben dieses Mal bereits früh dafür gesorgt, dass große Teile des Angriffs abgewehrt werden konnten. Betroffen waren dennoch wie am Tag zuvor zeitweise alle Telefonieservices und Webseiten von sipgate basic, sipgate go, sipgate team, sipgate trunking und simquadrat.

Ständige Updates finden Sie auf status.sipgate.de.

Freitag, 24.10.2014 ab ca. 08:47 Uhr
Alle sipgate Webseiten sind wieder erreichbar. Unsere Admins sind weiter dran die Telefonieprobleme zu beheben.

Freitag, 24.10.2014 ab ca. 09:52 Uhr
Unsere Admins stellen unsere Systeme auf wechselnde Angriffsmuster ein – mit Erfolg. Die Telefoniesysteme beruhigen sich gerade wieder. Erste Telefonate funktionieren wieder.

Freitag, 24.10.2014 ab ca. 10:15 Uhr
Telefonieren ist aktuell wieder über alle sipgate Produkte möglich. Sollten Sie Probleme mit Mobiltelefonie über sipgate SIM-Karten haben, so sollte ein Neustart des Handys helfen. Leider können wir noch keine vollständige Entwarnung geben. Sobald es die Situation zulässt, werden wir Sie natürlich ausführlich über die Hintergründe der DDoS Attacke hier im Blog informieren.

Freitag, 24.10.2014 ab ca. 11:10 Uhr
Bei einigen Anschlüssen gibt es wohl doch noch Probleme mit der Registrierung der VoIP-Endgeräte.

Freitag, 24.10.2014 ab ca. 11:34 Uhr
Immer mehr VoIP-Endgeräte registrieren sich wieder. Wir sind fast bei 100%. Wir bitten um Verständnis dafür, dass wir im Moment telefonisch keine Auskunft geben können. Unsere Hotline mussten wir heute morgen leider abschalten, weil sie vollkommen von Anrufen überflutet wurde. Zur aktuellen Verfügbarkeit und zu den DDoS-Attacken informieren wir weiter an dieser Stelle und bei twitter. Bitte wenden Sie sich per E-Mail an unsere Kundenbetreuung.

Freitag, 24.10.2014 ab ca. 12:54 Uhr
Die Situation bei der Registrierung von VoIP-Endgeräten sieht nun auch bei sipgate team Kunden normal aus. Damit können nun alle sipgate Kunden normal telefonieren. Wir sind gerade dabei mehr Infos und Analysen zusammenzutragen um sie hier im Blog zu kommunizieren. Updates folgen.

Freitag, 24.10.2014 ab ca. 13:32 Uhr
Wir wissen, dass die Situation für unsere Kunden nicht einfach ist und freuen uns daher umso mehr über die zahlreichen aufmunternden Kommentare. Leider können wir zu diesem Zeitpunkt neue DDoS Attacken nicht komplett ausschliessen, glauben aber nun viel besser reagieren zu können. Aktuell sind wir natürlich mit voller Kraft dabei unsere Systeme noch besser zu schützen. Parallel dazu werden die Geschehnisse gerade analysiert, detailliertere Ergebnisse und Hintergrundinfos dann hier gepostet.

Freitag, 24.10.2014 ab ca. 17:38 Uhr
Eine dritte Attacke konnten wir erfolgreich abwehren. Es kam zu keinen Beeinträchtigungen für unsere Kunden.

Samstag, 25.10.2014 ca. 07:58 Uhr
Durch die von unseren Admins implementierten Massnahmen konnten heute Nacht erneut drei DDoS Attacken auf die sipgate Systeme erfolgreich abgefangen werden. Die Angriffe blieben deswegen ohne negative Auswirkungen für unsere Kunden. Darüber sind wir sehr froh. Eine vollständige Entwarnungen können wir leider nicht geben, aber wir sind guter Hoffnung die richtigen Massnahmen getroffen zu haben. Unsere Admins bleiben natürlich auch am Wochenende wachsam. Wir informieren Sie auch weiterhin laufend über den aktuellen Stand sowohl auf status.sipgate.de als auch hier im Blog.

Samstag, 25.10.2014 ca. 13:14 Uhr
Die zahlreichen Kommentare und Nachfragen auf twitter, facebook und hier im Blog brachten uns auf die Idee, die gesamte Geschichte in einem längeren Artikel aufzubereiten und auf diese Weise möglichst viele Fragen zu beantworten.

Der Artikel ist am Ende doch ziemlich umfangreich geworden. Wir glauben, dass er auch für andere von DDoS-Attacken betroffene (und nicht nur für sipgate-Kunden) interessant sein dürfte. Deshalb haben wir ihn graphisch etwas aufbereitet und auf der Plattform medium veröffentlicht – und nicht hier im Blog.

Die DDoS-Story.

Montag, 27.10.2014 17:34 Uhr
Auch am Wochenende ist es wieder zu DDoS-Angriffen gekommen, die wir aufgrund der getroffenen Gegenmaßnahmen aber alle erfolgreich abwehren konnten. Lediglich unsere Homepage war kurzfristig nicht erreichbar siehe Statusseite.

Unsere Techniker nutzten den heutigen Tag für eine erste wirklich umfangreiche Analyse der Vorfälle. Als Ergebnis wurde eine Reihe von Maßnahmen erarbeitet, welche in Zukunft dafür sorgen die sipgate Infrastruktur besser gegen DDoS Attacken zu schützen. Bitte haben Sie Verständnis dafür, dass wir aktuell keine Details zu diesen Maßnahmen veröffentlichen können.

Montag, 27.10.2014 18:45 Uhr
Leider ist durch unsere Gegenmaßnahmen aktuell noch die Faxfunktion teilweise gestört. Wir arbeiten zurzeit intensiv an der Behebung der Fax-Störung.

Dienstag, 28.10.2014 18:05 Uhr
Heute Nacht waren wir einem erneuten Angriff ausgesetzt, der am frühen Morgen zu teils erheblichen Beeinträchtigungen führte. Tagsüber blieben weitere Attacken aus und inzwischen melden immer weniger Kunden Gespräche mit “One Way Audio” und Faxstörungen. Aktuell erarbeiten wir weitere Schutzmaßnahmen und bitten um Verständnis, dass wir technische Details nicht veröffentlichen können.

Weitere interessante Beiträge

81 Kommentare


T. Spilling:

24.10.2014 19:28 Uhr:

Sipgate.de ist (wieder?) nicht erreichbar.

antworten

Stefan:

Alles was Rang und Namen hat, hat es schon mal erwischt. Gegen Angriffe gibt es kein 100%igen Schutz. Es geht ja nicht nur um Angriffe, sondern auch um die Verwendete Hardware. Fast jeder Hersteller hat Fehler und Sicherheitslücken in der Firmware. Da kann man mal sehen, wie viele PCs infiziert sind und für Angriffe missbraucht werden. Man sollte die Kunden, die ihre PCs nicht vernünftig absichern zur Kasse bitten. Arbeite selber bei einem ISP und wir müssen auch ständig Kunden vom Netz nehmen (zwangs Sperre) weil der ihre PCs SPAM und Viren verbreiten.

antworten

richard:

Wäre es nicht eine Möglichkeit, dass Firmenkunden mit festen IP-Adressen eigene Zugangsrechner bekommen.
Diese wären wesentlich besser zu sichern.

antworten

Daniel:

Das hört sich nun irgendwie blöd an, aber ich habe den Eindruck bekommen, als wärt ihr so was wie ein dynamisches Quasi-Hacker-Team, die auch irgendwie Spass dran haben sich mit so was auseinanderzusetzen und die fortschritte gerne öffentlich mitteilen. Glaube nicht, dass es bei der Telekom so offen zugegangen wäre. Finde ich toll.

antworten

Jay:

@Daniel
Ja, das macht es echt sympathisch.
Man sieht die Jungs mit Shirts auch auf dem Linuxtag ;)

Von daher @Sipgate macht weiter so!

antworten

sowasaberauch:

Hier wird oft von redundante Strukture geschrieben.
Aber nieman erklärt, wie das in einem Betrieb mit 2 Mitarbeitern (Handwerk) geschehen soll???

antworten

Mike:

Hallo,
wie doch so viele „Leute“ bei so einem Thema durch die Decke gehen. Ich bekomme auf Arbeit Täglich Mails an welchem Standort(e) für Stunden (~2h) fast Täglich irgendein Problem auftritt, dabei ist der Hauptakteur „Vodafone“, wobei es insgesamt 3 Anbieter gibt. Wie man sieht gibt es bei den angeblich führenden Anbieter wo deutlich mehr Geld verlangt wird dieses Probleme auch! Der Support erfolgt … sagen wir zäh zeitverzögert. Ich empfehle Sipgate / Simquadrat gerne weiter.

antworten

Tony:

@sowasaberauch

Das kommt auf den Grad der „Abhängigkeit“ an. Die interne Erreichbarkeit (Office zu Aussenmitarbeiter o.ä.) ist am einfachsten redundant auszulegen, weil zusätzliche Rufnummern kein Problem sind. Mit einem Dual-SIM Handy und einer Prepaid-Karte im zweiten Slot entstehen keine laufenden Kosten, und selbst wenn Weiterleitungen nicht funktionieren oder Karten ganz abgeschaltet werden, bleibt der Mitarbeiter erreichbar und kann selbst telefonieren. Diese Lösung hilft auch gegen Funklöcher, wenn die Anbieter in verschiedenen Netzen zu Hause sind.

Für die äußere Erreichbarkeit (Kunde zu Unternehmen) würde ich einen Telefonanschluss bei einem Anbieter mit klassischem Telefonnetz vorhalten, der netzseitige Umleitung anbietet, und die Anrufe von dort auf die flexiblere VoIP Lösung umleiten. Bei einer netzseitigen Umleitung gehen keine Anruferinformationen verloren und Störungen auf dem Anschluss sind unerheblich. Wenn man das mit dem ohnehin notwendigen Internetanschluss kombiniert, kostet das auch inklusive Festnetzflatrate nicht viel mehr. Die Weiterleitung kann man im Fehlerfall ab- bzw. umschalten. Evtl. ist es sinnvoll, gegenüber Kunden auch eine Mobilfunknummer zu kommunizieren, die dann nicht beim selben Anbieter liegen sollte (z.B. die Zweit-SIM vom Chef). Damit bleibt man auch erreichbar, wenn der Festnetzbetreiber einen Ausfall hat. Der ist zwar gegenüber DDoS weniger anfällig, aber es gibt ja noch andere Fehlerquellen.

Eine eher esoterische Lösung ist ein ENUM-Eintrag für die eigene Rufnummer. Im Prinzip ließe sich damit die Erreichbarkeit der Rufnummer unabhängig vom technischen Dienstleister herstellen (bzw. sogar ganz ohne einen speziellen Dienstleister). Das ist quasi eine „Umleitung“ bevor der Anruf überhaupt beim Dienstleister bearbeitet wird. Aber ENUM wird kaum unterstützt, so dass dieser Ansatz in der Praxis kaum weiterhilft.

antworten

sowasaberauch:

@Tony
Danke für Deine ausführliche Info.
Du schreibst von einem klassischen Telefonnetz. Ist damit die Fa. mit dem T gemeint, oder gibt es hier alternativen? ( Bei ein paar Einträgen vorher hat man mir mitgeteilt, dass dort auch auf VoIP umgestellt wird)
Die Lösung mit der Mobilfunknummer werde ich in der nächsten Woche umsetzten.

antworten

Jochen Behr – Geschäftsleitung FRANKEN-REPORT:

Ich hoffe, die Verantwortlichen des Angriffes werden geschnappt und zur Verantwortung gezogen, nicht nur strafrectlich, sondern auch zivilrechtlich!!!

antworten

Johanna M. Karlsen:

@W:

Wir haben als mittelständisches Unternehmen unsere komplette Telefonie samt Mobiltelefonen bei sipgate team und konnten seit gestern Nachmittag bis heute gegen 10 Uhr überhaupt keine Dienste mehr nutzen

Wer als Unternehmer seine gesamte Kommunikationsinfrastruktur an ein einziges Unternehmen bindet, ohne sich auch nur im Geringsten über Aus- bzw. Notfälle Gedanken zu machen, kann dafür nicht die Schuld dem TK-Unternehmen zuweisen. Für derartige Dinge ist von vornherein der Unternehmer selbst verantwortlich. Mein Unternehmen nutzt Dienste von Sipgate, neben den Festnetz-Nummern von Sipgate hat aber jeder Mitarbeiter eine auf seiner Visitenkarte aufgedruckte Handy-Nummer, welche bei einem anderen Anbieter registriert ist. Unsere Kunden konnten diese Nummern verwenden. Das war mühsam, aber die wesentliche Kommunikation hat einigermaßen funktioniert.

Lieber Herr „W“, es ist einfach sich hinter einem Pseudonym zu verstecken und zu jammern. Sie sind in diesem Fall Ihrer unternehmerischen Sorgfaltspflicht NICHT nachgekommen. Das haben Sie selbst auszulöffeln.

Wir hätten während dieser Zeit nicht einmal einen Notruf absetzen können!

Mobiltelefone wurden in den frühen 90er-Jahren populär, erschwingliche Verträge kann man also seit ca. zwanzig (!) Jahren abschließen, Prepaid-Tarife gibt es seit mehr als 15 Jahren. Selbstverständlich hätten Sie über Privathandys Notrufe absetzen können. Sie übertreiben in diesem Punkt maßlos.

Über eine Benachrichtigung von sipgate über die Probleme hätten wir uns auch gefreut. Stattdessen musste man sich die Infos auf Twitter oder im Blog selber zusammensuchen.

Das die Dienste von Sipgate ausgefallen waren, bedurfte keiner Benachrichtigung, es wurde durch Wählen einer Rufnummer offensichtlich. Ich erwarte von einem TK-Unternehmen jedoch, dass es sich um die Behebung der Störung kümmert, anstatt Mitarbeiter zu binden, indem diese blumige Worte per E-Mail an die mosernde Kundschaft herumsenden müssen.

Darüberhinaus handelt es sich hier um eine Straftat, die durch Ermittlungsbehörden aufzuklären ist. Selbstverständlich wird bei Sipgate niemand so doof sein, und die Kunden per E-Mail zum jetzigen Zeitpunkt „umfassend“ informieren.

DDOS-Attacken sind ja nun nichts Neues, und dass gerade ein so exponierter Provider wie sipgate da im Fadenkreuz steht, war doch wohl mehr als erwartbar, oder?

Sie erwarten also, dass ein Unternehmen wie Sipgate auf jede Form der DDOS-Attacke vorbereitet ist, Ihr Unternehmen ist aber auf einen (im Rahmen des Möglichen liegenden) Ausfall von Sipgate nicht vorbereitet?

Ich war ehrlich gesagt negativ überrascht, wie sipgate von diesem Angriff auf dem kalten Fuß erwischt worden ist und welche drastischen Auswirkungen dieser hatte.

Ich bin ehrlich gesagt negativ überrascht, dass Sie einerseits bemängeln, keine Informationen von Sipgate erhalten zu haben, auf einen Ausfall der Dienste nicht vorbereitet gewesen zu sein, andererseits aber andeuten, genau zu wissen, was hier passiert sei und wie man dagegen vorzugehen habe.

Herr „W“, Sie messen mit doppeltem Maß!

Der DDOS-Angriff wurde erkannt und abgewehrt. Ich gehe davon aus, dass Sipgate für die Zukunft daraus gelernt hat und aus einer Analyse des Geschehens die Betriebsabläufe dahingehend ändert, dass es in Zukunft besser aufgestellt ist.

Zuletzt bin ich unabhängig von Herrn „Ws“ Kommentar ziemlich entsetzt, mit welcher Arroganz, Ignoranz und Aggressivität einzelne Kunden auf Twitter oder hier im Blog auftreten.

antworten

Felix Krämer:

@Johanna M. Karlson
So, ich bin Ihrer Meinung nach also meiner unternehmerischen Sorgfaltspflicht nicht nachgekommen.
Das bestreite ich hiermit. Ich gebe Ihnen in den Fällen Recht, für den Teil meines Unternehmens, für die ich die organisatorische Verantwortung habe.
Mein Fuhrpark z.B. muss ordentlich gewartet werden. Sollte ich dies vernachlässigen habe ich das zu verantworten. Mein Werkzeug ist ebenfalls nach einem Arbeitseinsatz wieder in einen ordentlichen Zustand zu bringen. Sollte ich dies nicht tun, habe ich mich nicht zu wundern, wenn es beim nächsten Kundeneinsatz nicht funktioniert.

Ich biete meinen Kunden einen 24h Notdienst an 365 Tagen im Jahr an. Dafür Zahlen die Kunden beim Abschluss eines Wartungsvertrages. Daran muss ich mich messen lassen. Ich kann also bei Nichterfüllung dieser Dienstleistung nicht argumentieren, dass der Kunde einen „Plan B“ in der Tasche haben muss. Wo wäre denn hier die Logik?
So ist es auch mit einer Dienstleistung die ich bewusst über einen Dritten einkaufe, weil ich sie nicht leisten kann/will. Kann der Dienstleister die von Ihm beworbenen Leistungen nicht erbringen, so muss ich mir Gedanken darüber machen, ob er der richtige Dienstleister für mich ist.
Das ist für mich die unternehmerische Sorgfaltspflicht. So einfach ist das.

antworten

Tony:

@Felix Krämer

Haben Sie die Leistungsbeschreibung gelesen? Sipgate verspricht keine Hochverfügbarkeit. Vielleicht sind Ihre hohen Erwartungen doch eher von der bisherigen Qualität geprägt als von vertraglichen Zusicherungen.

Wer eine hochverfügbare Lösung braucht, aber keine einkauft, muss sich bei allem berechtigten Ärger schon auch an die eigene Nase fassen.

Nutzen Sie diesen Anlass doch, um auch gegenüber Ihren Kunden zu demonstrieren, dass sie sich um permanente Erreichbarkeit besonders bemühen, und halten Sie eine zusätzliche Mobilfunknummer bei einem anderen Betreiber vor. Das sichert Sie nicht nur gegen Probleme bei Sipgate sondern auch gegen Ausfälle beim Mobilfunknetzbetreiber ab und ist sicher sinnvoller, als einen einzelnen Anbieter zu suchen, der eine höhere Verfügbarkeit verspricht und dann doch irgendwann mal einen Tag ausfällt.

Im übrigen gehe ich davon aus, dass Sipgate der Verfügbarkeit der netzseitigen Umleitung in Zukunft besondere Aufmerksamkeit schenken wird, da diese Funktion mangels Verbreitung von ENUM-Unterstützung die einzige Möglichkeit für ein zuverlässiges Failover darstellt und ihr Ausfall daher tatsächlich ein Grund für einen Umzug zu einem anderen Anbieter sein kann.

antworten

Thomas:

@sowasaberauch: Ich fasse es nicht, wegen deiner 2-Mann-Klitsche machst du hier so einen Aufstand?

Was machst du eigentlich, wenn dein anderer Kollege mal krank ist?

Wir haben 15 Angestellte an 2 Standorten. Aber anstatt hier rumzunörgeln, haben wir einen Hinweis auf unsere Webseite gestellt mit der Bitte, in dringenden Fällen das Kontaktformular zu benutzen.

antworten

DD-com:

Danke an das Taem ,
ich hoffe nur das die Verfolgung dieser
Straftat nicht im Sand verläuft , denn es war ein Angriff auf die Infrastruktur .

antworten

AFu:

Hallole,

auch ich möchte mich kurz zur DDoS-Attacke melden.

Seit es möglich war, die SIM-Quadrat parallel als VOIP einzutragen, habe ich meine Festnetz-Nummern auf die SIM-Quadrat umgeleitet.
Am Donnerstag Abend hatte ich dann das Handy aus, und war somit nicht zu erreichen. – Durch Zufall bemerkte ich an der Fritz-Box, dass mich jemand anrufen wollte, und hab zurück gerufen. – Handy an, und vorsorglich die Rufumleitungen raus genommen, und ich war wieder erreichbar.

Ich nutzte die Sipgate-Produkte privat. – Deshalb bin ich auch nicht ganz so drauf angewiesen, wenn es mal aussetzt.

Im Februar fand eine Störung an meinem Telekom-Anschluss statt. – Der Techniker, der es am 4. Tag erst beseitigte, hat die Meldung erst an diesem Tag erhalten, und war dann von seiner Seite in fünf Minuten erledigt.

Auf Grund der eingerichteten Rufumleitung war ich an diesen vier Tagen telefonisch erreichbar, und lobte hier die gute Idee von SIM-Quadrat. – Auch heute finde ich es noch toll, und sage Dante für diese Tolle Innovation.

Es ist Technik, und da kann es halt mal vorkommen, dass es nicht tut. :-)

Grüßle
AFu

antworten

EntireNet:

Gestern als auch heute ist immer wieder kurzzeitig die Meldung auf dem Display, welche besagt das Netzwerk SIPGATE sei nicht erreichbar. Dadurch ergeben sich immer wieder kurze Zeiten der Nichterreichbarkeit. Wie lange wird das noch so weiter gehen?

antworten

Schurl:

502 – BAD GATEWAY

Anti-DDoS Filter cannot connect to protected host.
Most likely the firewall (CSF?) on protected host blocks filter IP addresses due to a large number of requests.
If you are the administrator, please disable the firewall or whitelist the filter IP’s.

Telefon geht auch nicht,….

antworten

jeggy:

Phones are offline. Got Provider Registration error. Request Timeout.

About 6000 Error-Mails from Syslog.

Hope they will configure their DDOS Filters correctly. We are down since 24.10.

antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.