Am gestrigen Abend wurden die Telekommunikationsdienste der PIRATEN durch eine sogenannte DDoS-Attacke beeinträchtigt. Dabei wird durch eine große Anzahl von Rechnern, zumeist aus illegalen Botnetzen, eine sehr große Zahl von Anfragen gestartet. So soll der eigentliche Dienst überlastet werden. Dabei handelt es sich um eine sogenannte Syn Flood Attacke, bei der das System durch eine Flut von Anfragen auf Ebene des TCP-Protokolls überlastet wird.
Nachdem diese erste Attacken erfolgreich abgewehrt wurden, wurde eine UDP Flood Attacke gestartet, bei der die Leitungen mit großen Datenmengen blockiert werden. Hierbei wurde eine Bandbreite von 1,5 GBit pro Sekunde erreicht. Es handelt sich also um einen verhältnismäßig großen Angriff auf unsere Infrastruktur.
Unsere Administratoren konnten diese in enger Zusammenarbeit mit dem Rechenzentrumsbetreiber abwehren, indem dieser kurzfristig eine zusätzliche Hardware-Firewall (Lösung zur Abwehr solcher Angriffe) bereitgestellt hat. Leider können so auch valide Anfragen gefiltert werden. Somit sind einige Dienste in der Nacht und bis in den Morgen hinein nur eingeschränkt verfügbar gewesen. Die Datensicherheit unserer Systeme war aber zu keinem Zeitpunkt gefährdet.
Dabei sind die unsere Dienste gegenüber solchen DDoS-Angriffen anfällig, wie natürlich auch bei jedem anderen Dienstanbieter. Dies liegt aber nicht nur an unseren Administratoren, die ehrenamtlich arbeiten und sich die Nächte um die Ohren schlagen, sondern auch unserem im Vergleich zu anderen Dienstanbietern relativ geringem Budget.
Die Piraten nutzen eine Vielzahl von Werkzeugen, die sie selbst anbieten. Darunter ist natürlich das E-Mail-System zu nennen, welches täglich Millionen von Mails versendet. Unsere Websites und Blogs informieren die Bürger über unsere Politik. Dazu kommen unser Wiki und ein großer Etherpad-Server (kollaboratives Erstellen von Texten), die die kollaborative Zusammenarbeit gewährleisten. Außerdem betreiben wir unsere internen Verwaltungsdienste und noch viele weitere Dienste wie zum Beispiel unseren Jabber-Server (ein auch gegenüber der NSA sicheres Chatsystem).
Alle diese Werkzeuge sind aus unserer täglichen Arbeit nicht wegzudenken und erleichtern diese immens.
Mit diesem Blogpost möchten wir also um Verständnis für den Ausfall bitten und unserer Bundes-IT danken, die hier letzte Nacht eine großartige Arbeit geleistet hat. Wir hoffen, dass ein solcher Angriff im Wahlkampf ein Einzelfall bleibt.
Sven
Erste Reaktion der NSA?
Vielen Dank für Euren unermüdlichen Einsatz.
Gibt es Hinweise aus welcher Ecke diese Angriffe kamen?
ein ganz ganz großes Dankeschön an die Bundes-IT für den beherzten und erfolgreichen EInsatz hier, und sowieso für den immer guten Service, den Ihr im Hintergrund leistet!!!
sehr fragwürdige Aussage. Ohne Zusatzmaßnahme nämlich PlainText. Verbindungsdaten fallen dazu auch an.
1,5Gbit ist relativ wenig und lässt sich mit ordentlicher 10GE Netzinfrastruktur schnell terminieren.
Ein gehärteter Kernel auf den Frontend Maschinen und Intel Pro NICs sind hierbei Pflicht.
Warum kam es zu einem fast gleichzeitigen Ausfall verschiedener Dienste??? Sind die etwa alle auf einem Server? Das gleichzeitig Pad, Chat und Website und vielleicht noch weitere Angebote betroffen sind, spricht nicht gerade für eine durchdachte Infrastruktur.
ich glaube die IT würde das sofort umsetzen, wenn du das entsprechende Kleingeld für die Leitung jeden Monat spendest.
Ich denke, wenn die Leitung dicht ist helfen einem die Vielzahl von Servern auch nichts.
Außerdem hat man auch keine Chance mehr, wenn die Firewall überlastet ist.
Ich denke doch mal das dies vor allem eine Kostenfrage ist. Miete ich mir jetzt einen Server für 65€ im Monat oder für jeden Dienst einen?! Wir reden hier nicht von der CDU, die alleine im Juli 130.000€ von EINER Person aus der Pharmaindustrie bekommen hat… zuzüglich der anderen kleinen (<130.000€) Beträge.
Seitens der Kosten sollte die Umsetzung kein großes Problem darstellen:
-10G Uplink ~120€ / Monat
-10G Intel Pro Dualport NIC ~400€ einmalig
-10G SFP+ Module (3x) ~380€ einmalig
Das Ganze könnte man problemlos als Loadbalancer / Reverse Proxy konfigurieren und den Traffic über einen Force10 Switch auf backend Webserver distributieren 🙂
Es gibt sehr günstigen Remote DDoS-Schutz, bspw. auf r00t-services.net. Habt ihr ernsthaft keine 50-100€ im Monat übrig, um euch vor solchen Angriffen zu schützen? Eine In-House-Lösung ist natürlich etwas teurer, aber auch nicht nötig.
Vielleicht doch die Syrian Electronic Army?
Am nächten Tag war die Washington Post dran…