Was passiert nach einer DDoS Attacke?
Wenn die DDoS Attacke vorbei ist und der Server down! Was muss man dann alles machen, dass alles wieder normal und nach Routine läuft?
8 Antworten
Wenn die DDoS Attacke vorbei ist und der Server down!
Ziel einer DDoS Attacke ist nicht, irgendwelche Server "down" zu bekommen, das passiert darum so auch nicht.
Eine solche Attacke soll Server/Plattformen/Firmen/Hoster unerreichbar fuer den Rest der Welt machen, also "down" im Sinne von nicht erreichbar und nicht im Sinne von "Shutdown" ;).
Und dort liegt auch die Antwort auf deine Frage nach der Schadensssume.
Man nehme an ein Webshop macht am Tag 240.000 Euro Umsatz und wird durch DDoS fuer eine Stunde lahmgelegt. Man koennte jetzt also argumentieren, dass ein Verlust von 10.000 Euro entstanden ist.
Ich sage bewusst "koennte", weil man die Auswirkungen eines solchen Angriffs eben schlecht 100% korrekt kommerziell beschreiben kann. Wer weiss schon, ob der Shop in dieser Stunde wirklich 10.000 Euro Umsatz gemacht haette, oder nicht eventuell nur 2.000 Euro oder 0 Euro (oder eben auch 30.000 Euro).
Was muss man dann alles machen, dass alles wieder normal und nach Routine läuft?
Im Normalfall gar nichts. Irgendwann hoert der Angreifer auf und die regulaeren Anfragen kommen wir durch.
Quasi als wuerde dir jemand das Wasser abstellen. Fuer eine gewisse Zeit hast du kein Wasser, aber wenns wieder angestellt wird, musst du auch nicht erst deine Wasserhaehne reparieren oder Durchlauferhitzer analysieren etc.
Aber unter Umstaenden kann das natuerlich Folgen haben, wo man dann als Betreiber reagieren muss, einige Beispiele:
- DDoS war im RZ1, bestimmte Server replizieren aber nach RZ2. Hier koennte Datenverlust entstanden sein, den es zu kontrollieren und/oder beheben gilt.
- Ein Gateway war nicht in der Lage die DDoS Pakete von den eigentlichen Servern fernzuhalten, diese haben z.B. auf Frontend-Servern das komplette Backlog zugefahren, das breitet sich auf Backend-Server, Datenbank-Cluster usw. aus. Hier kann es - wenn man z.B. mit persistenten Verbindungen arbeitet - noetig sein, dass man manuell die Verbindungen aufraeumen muss
- Wenn man Mailservices betreibt, konnten die in der Zeit des Angriffs z.B. keine Monitoring Mails zustellen -> ergo sind ueberall die Mailqueues voll. Diese wuerde man dann per Hand aufraeumen.
Ich kenne mich nicht so aus. Ich denke mal, einfach abwarten & dann geht dein Internet wieder nach 'ner Weile. Am besten aber bei deinem Netzanbieter anrufen & ihn aufklären, die nötigen Informationen vergeben und der Angreifer kann sich dann gewaltig auf 'ne fette Geldstrafe freuen. Es gibt aber auch solche Tools, die dich vor DoS bzw. DDoS Attacken schützen.
"der Angreifer kann sich dann gewaltig auf 'ne fette Geldstrafe freuen"
Wenn er denn jemals erwischt wird, was selten genug der Fall ist
Das hängt von der Qualität von verwendetem Betriebssystem und eingesetzter Software ab.
Wirklich gute Software unter einer stabilen Linux-Version beispielsweise braucht dann gar keine weitere Zuneigung. D. h. sobald die Müllflut auf der Leitung weg ist, läuft alles wieder wie normal weiter.
Ansonsten gilt der alte Spruch: "Wenn Maschine nicht tut, dann Boot. Neu laden kann nicht schaden."
Was man aber in allen Fällen machen sollte: Logfiles erst wegsichern(!) und dann wegräumen(!). Denn die Systemprotokolle werden bei solchen Anlässen schon teilweise ekelhaft groß und müllen die Platte zu. Was dann im übrigen ein weiteres Folgeproblem darstellen kann.
Danke erst mal, dann war ich ja mit meiner Vermutung schon ganz richtig!
Was ich dafür nicht verstehe, wenn es heißt in Nachrichten heißt "DDoS Attacke auf (z.b) Microsoft. Schaden: 360 000€. Warum kostet das soviel? Weil theoretisch startet man ja nur den server neu!
Weil du Verdienstausfälle hast, Aufwände um die Attacke abzufedern (weil du externe Dienstleister beauftragst den Traffic abzufangen), personelle Aufwände, ...
Oder wenn du Dienste anbietest z.B. Werbung schaltest und die dann keiner mehr sieht verlierst du auch Geld oder wenn du andere kostenpflichtige Dienste stellst.
Wenn der Server wirklich aus war, wird er wieder hochgefahren und alle Anwendungen neu gestartet. Im Idealfall wird noch nachgeforscht, wo die Attacke herkam und was man nächstes Mal dagegen tun kann.