Heftige DDoS Angriffe legten über Stunden unsere Voice Server lahm

In den letzten Wochen kam es auf unseren VoIP Servern des öfteren zu kurzen Ausfällen. Am Mittwoch Abend kam es dann zu einem kompletten Ausfall aller VoIP Server. Erst am Donnerstag Vormittag konnten die System wieder ans Netz angebunden werden.

Grund für die großen Probleme war eine Reihe von teils heftigen DDoS-Angriffen. Diese waren so stark, dass Sie andere Kunden, die am gleichen Switch im Rechenzentrum unseres Hosters angeschlossen waren, auch mit beeinträchtigt hatten. Zeitweise waren es mehrere Gigabit pro Sekunde, die auf unseren Server einprasselten. Wie auf dem Schaubild unschwer zu erkennen ist, erreichte der Angriff vom Mittwoch zwischen 22:30 Uhr und 22:40 Uhr seinen Höhepunkt. Die rote Linie zeigt den normalen VoIP Traffic von TeamSpeak und Mumble.

Nach dieser Reihe von Problemen haben wir einige Maßnahmen ergriffen. Unter anderem haben wir den Server in ein anderes Rechenzentrum umgezogen. Dies hat zur Folge, dass User die sich nicht über die DNS-Namen (bei TeamSpeak ts3.qso4you.com), sondern über die IP-Adresse verbinden, nicht mehr connecten können. Diese müssen um den Dienst weiterhin nutzen zu können, auf die Domänenadresse umsteigen. Bei Mumble stellt das kein Problem dar, da in der offiziellen Serverliste auch mit DNS-Adressen gearbeitet wird. Bei TeamSpeak hingegen, wird immer die IP-Adresse des Server in den Bookmarks abgelegt. Wer also bei TeamSpeak die Adresse ts3.qso4you.com in seine Lesezeichenliste ablegt, wird auch in Zukunft immer auf der sicheren Seite sein.

Wir werden in Zukunft einiges tun, um derartige Downtimes zu vermeiden. Allerdings sind auch uns Grenzen gesetzt. Ab einer bestimmten Intensität können selbst die größten ISPs nichts machen. Auch Internetriesen wie Facebook, Twitter und Google müssen sich diesen Problem stellen.

Was ist ein DDoS?

Bei einem DoS (Denial of Service) Angriff versucht der Angreifer einen Dienst durch eine hohe Anzahl von vorgegaukelten Anfragen lahmzulegen. Handelt es sich um einen Angriff von mehreren Systemen, spricht man von einem Distributed Denial of Service (DDoS). Für DDoS Attacken werden sehr oft infizierte Rechner verwendet, welche dann auf Befehle aus einem Botnetz reagieren. Das macht die Bekämpfung eines solchen Angriffes auch sehr schwierig, da er auf viele verschiedene IP-Adressen verteilt wird.

Bildquellen

• Schaubild: „Stachledraht DDos Attack“ von Everaldo Coelho and YellowIcon
• „CERN Server“ von Florian Hirzinger – www.fh-ap.com - Eigenes Werk (Florian Hirzinger). Lizenziert unter CC BY-SA 3.0 über Wikimedia Commons.