Wir leiden derzeit (27.2) unter einer massiven DDOS Attacke von mehreren 100GBit/s. In Zusammenarbeit mit unseren Uplinks versuchen wir das Problem einzugrenzen. Aktuell (16:30) ist einer der Uplinks wieder am Laufen. Wir bitten um Ihr Verständnis.

Aktueller Stand 17:45. Einer unserer Uplinks hat die betroffenen IPs gefiltert und schafft es den bei ihm auflaufenen Traffic zu verdauen. Der andere Uplink versucht es um 20:00 nochmal ob bis dahin der Angriff abflaut. D.h. wir sind online, aber es ist langsamer wie gewohnt.

Warum ist das so schwierig? Der Angreifer benutzt viele fremde gekaperte Rechner die weltweit verteilt sind um dann massiv Daten zu Kunden-IPs bei uns zu schicken. Wir können das zwar filtern, aber dann sind die Daten ja schon bis zu uns gelangt und haben bereits die Leitungen verstopft.

Update Freitag 28.2.20 16:30: Es finden aktuell keine Attacken statt. Alles läuft normal. Wir versuchen jetzt die aufgelaufenen Nachrichten zu beantworten. Bitte haben Sie Verständnis, dass wir uns während eines Problems um das Problem kümmern müssen und dann erst Informationen weitergeben können. Während einer DDOS-Attacke kann man leider auch nicht sagen wie lange diese anhält und ob sie wieder kommt. Man kann nur die betroffenen IPs an den Austauschpunkten sperren lassen und warten bis das vorbei ist. Wenn der Täter die IPs wechselt muss man jeweils nacharbeiten um das Netz erneut zu stabilisieren.

Das Landeskriminalamt für Cybercrime wurde informiert und die Ermittlungen laufen.

 

Stellungnahme (5.3.2020):

DDOS Attacke auf das Genias Netz am 27./28.02.2020

Bei dem Vorfall handelte es sich um eine DDOS-Attacke, die von einem BOT-Netz auf 12 IP-Adressen innerhalb des Genias-Netzes geführt wurde.
Informationen zu DDOS: https://de.wikipedia.org/wiki/Denial_of_Service#DDoS_und_Botnetze
Es kam dadurch zu eine Netzüberlast bei GI und den zuführenden Dienstleistern von GI. Die Internetpakete erreichten die Upstream-Dienstleister von GI mit einer Bandbreite von mehreren 100GBit/s. In einer ersten Reaktion haben diese das Announcement des GI-Netzes eingestellt und damit außer Betrieb gesetzt, um Ihr eigenes Netz in Betrieb zu halten.

Bei der Attacke wurden keine Genias-Systeme oder Kunden-Systeme von Genias gehackt. 

Start Attacke: Donnerstag 27.02.20 13:00
Ende Attacke: Freitag    28.02.20 14:00

Während des Angriffs konnte über längere Zeiträume der Netzbetrieb eingeschränkt aufrecht erhalten werden, in dem die angegriffenen IP-Adressen an größeren Internet-Austauschpunkten gesperrt wurden. 

Die Kunden mit den betroffenen IP-Adressen und die Nameserver waren während des Angriffs vom Netz getrennt. Einer unserer Upstream-Dienstleister konnte diese Sperren nicht durchführen und war während der gesamten Attacke abgeschaltet.

Der Vorgang wurde beim Landeskriminalamt zur Anzeige gebracht: Aktenzeichen BY0257-000087-20/0.
Der Vorgang wurde dem BSI (Bundesamt für Sicherheit in der Informationstechnik) gemeldet.