DDoS-Angriff auf Webserver – schnelle Hilfe vom Experten
Einer meiner Kunden wird bereits seit einigen Wochen regelmäßig mit kurzen DDoS-Angriffen und Last-Attacken beehrt. Seit kurzem erfolgt nun auch ein großangelegter und seit Tagen anhaltender Angriff.
Die ersten Angriffe äußerten sich in kurzen Lastspitzen:
Danach erfolgten die Angriffe in Intervallen:
An der oben dargestellten Grafik lässt sich sehr gut erkennen, dass wir trotz der Größe des Angriffs die Anfragen noch bewältigen konnten. Jedoch kommt es gerade bei den Spitzen zu einer verzögerten Seitenauslieferung. Dies erschwert Besuchern die Nutzung der jeweiligen Webseite und auch Suchmaschinenrobots können davon negativ beeinflusst werden.
Auch ohne den Angriff aktiv abzuwehren war der von mir konfigurierte Webserver bereits problemlos in der Lage den Besucheransturm zu bewältigen.
Weiter erfolgt der Angriff in Intervallen um die Persistenz des Angriffs zu verschleiern, so werden viele Webseitenbetreiber erst Tage später auf das Problem aufmerksam, da die Webseite nicht permanent angegriffen wird.
Für die Auslastung wurde eine Kombination aus DDoS und normalen Aufrufen erzeugt. Dem Anschein nach durch ein unglaublich großes Botnetz.
Das blockieren einzelner IP-Adressen oder Länder brachte bei diesem Angriff keinen dauerhaften Erfolg, bereits wenige Minuten später erkannte das Botznetz „die Blockade“ und benutzte einfach andere Rechner aus dem Netzwerk.
Ich konnte den Angriff für meinen Kunden natürlich erfolgreich abwehren. Hierzu habe ich eine Kombination aus mehreren mir zur Verfügung stehenden Methoden genutzt – welche ich hier nicht weiter erörtern möchte und kann.
Neben dem Abwehren des Angriffs haben wir den Angriff sogar zu unserem Vorteil genutzt: Während des Angriffs haben wir einer Teilmenge weiterhin gestattet die Webseite des Kunden aufzurufen. Im nächsten Schritt haben wir unsere Serverumgebung für noch größere Besuchermengen (als wir diese ohnehin bereits gewohnt sind) optimiert. Wir konnten so unsere Speichernutzung nochmal um etwa 50% reduzieren und nur kurzzeitig offen gehaltene Verbindungen (wie diese typischerweise bei einem solchen Angriff genutzt werden) noch schneller schließen. Hierdurch konnte letztendlich auch die CPU-Auslastung stärker gesenkt werden.
Hinweis: Im Normalfall bezahlen Webseitenbetreiber für diese künstliche Last
Aktuell wird der Angriff auf meinen Kunden noch immer durchgeführt, wobei etwa 150 GB Traffic pro Tag entstehen. Etwa 99% des Angriffs müssen von unserem nginx-Webserver nicht mehr beantwortet werden und werden bereits vorgelagert ausgefiltert.
Ihre Webseite oder Ihr Shop wird aktuell angegriffen und ist nicht erreichbar? Gerne helfe ich Ihnen zu einem günstigen Stundensatz. Schreiben Sie mir einfach über mein Kontaktformular.
In schwierigen Fällen helfe ich auch gerne beim Hosting von Webseiten, welche aktiv angegriffen werden.