Wichtiger Hinweis: |
Aktualisiert (09:26 CET+1) 9. August 2024
In den letzten Tagen waren die Nutzer einer erheblichen DDoS-Attacke ausgesetzt, die zu weitreichenden Ausfällen führte, einschließlich einer neunstündigen Unterbrechung von Microsoft-Diensten wie Microsoft 365, Intune, Power BI und Azure App Services. Weitere Einzelheiten finden Sie unter (TechRepublic) (BleepingComputer). Im Folgenden finden Sie die wichtigsten Anzeichen und Lösungen zur Erkennung und Behebung solcher Probleme.
Wenn bei Ihnen in den letzten Tagen die folgenden Probleme aufgetreten sind, waren Sie wahrscheinlich einem DDoS-Angriff ausgesetzt:
- Hohe CPU-/RAM-Auslastung;
- Firewall friert ein / reagiert nicht;
- Erhöhte Belastung des Netzwerks;
- Die Verkehrslast auf den Verbindungsports hat sich erhöht;
Verstehen der Situation
Ein DDoS-Angriff überflutet ein Netzwerk, einen Dienst oder einen Server mit übermäßigem Datenverkehr aus mehreren Quellen und macht ihn für legitime Benutzer unzugänglich. Dieser jüngste Angriff macht deutlich, dass robuste Verteidigungsmechanismen und schnelle Reaktionsstrategien erforderlich sind.
Um festzustellen, ob Sie einem DDoS-Angriff ausgesetzt waren, melden Sie sich bei der WebGUI Ihres Geräts an und überprüfen Sie die Protokolle und Berichte. Suchen Sie nach unbekannten Adressen oder nach Adressen aus der unten stehenden Liste. Wenn Sie solche Adressen finden, bestätigt dies einen DDoS-Angriff. Ein Beispiel für einen aktuellen DDoS-Angriff sehen Sie in der folgenden Abbildung:
dyn_repppppppp_0- Betrachten Sie die Regeltreffer von WAN- zu internen Richtlinien. Die Anzahl der Treffer wird sich deutlich erhöhen.
Beruhigung und Aktionsplan
Ein DDoS-Angriff kann zwar zu Störungen führen, ist aber nicht tödlich. Dennoch ist es wichtig, dass Sie sich dessen bewusst sind und Ihre Geräte und Ihr Netzwerk proaktiv schützen. Hier sind einige empfohlene Maßnahmen:
Wenn Sie nicht auf die grafische Benutzeroberfläche (GUI) des Geräts zugreifen können, versuchen Sie, den Zugriff mit allen verfügbaren Methoden wiederherzustellen. Dazu kann es erforderlich sein, die WAN-Verbindung zu unterbrechen oder das Gerät neu zu starten, falls dies möglich ist. Wenn es notwendig ist, die WAN-Verbindung so schnell wie möglich wiederherzustellen und gleichzeitig eine erneute Blockierung zu vermeiden, führen Sie bitte die folgenden Schritte aus:
Hinweis: Wenn Sie Zugriff auf die Webschnittstelle haben, gehen Sie direkt zu Sicherheitsrichtlinie anwenden
- Deaktivieren Sie alle Regeln für den WAN-zu-LAN-TCP-Port 443.
- Stellen Sie die Verbindung zum WAN-Port wieder her, wenn sie zuvor unterbrochen wurde.
- Fahren Sie mit dem nächsten Schritt der Problembehandlung fort.
Wir sammeln relevante IP-Adressen und nehmen sie zusammen mit unserem Anbieter in die Datenbank des IP-Reputation-Blocking-Filters auf, um alle möglichen Angriffsquellen so schnell wie möglich zu beseitigen. Zum Schutz Ihres Geräts können Sie diese Adressen jedoch auch manuell blockieren. Die nachstehende IP-Adressen-Tabelle wird entsprechend aktualisiert
Sicherheitsrichtlinie anwenden:
Security Policy > Policy Control- Implementieren Sie die Richtlinienkontrolle, um bekannte IP-Adressen von Angreifern zu blockieren. Dadurch wird verhindert, dass DDoS-Pakete Geräte überfluten und Leistungsprobleme oder Systemausfälle auftreten.
Diese beiden URLs werden verwendet, um IP-Adressen zu sammeln, die als Teil von Webangriffen identifiziert wurden, die von unseren internen Daten gesammelt wurden. Es wird empfohlen, diese Listen stündlich zu aktualisieren, um Ihre Verteidigungsmaßnahmen auf dem neuesten Stand zu halten. Um diesen Prozess auf Ihrem Gerät zu automatisieren, lesen Sie bitte den Abschnitt "Externe Sperrliste aktivieren" in diesem Artikel:
Hinweis: Die Entscheidung, die "Externe Sperrliste" zu verwenden, kann in einigen Fällen ineffektiv sein; die Sperrung mit Hilfe von Sicherheitsrichtlinie > Richtlinienkontrolle kann vielseitiger sein.
3.38.109.148/32 5.181.31.136/32 38.52.176.0/20 38.56.83.250/32 45.154.205.251/32 45.190.172.0/22 45.190.248.0/22 45.191.184.0/22 45.225.40.137/32 89.238.132.172/32 94.156.250.11/32 199.36.158.100/32 |
110.45.140.73/32 |
173.27.116.193/32 |
Hinweis: Wenn Sie in den vorangegangenen Schritten alle WAN-zu-LAN-Regeln für TCP-Port 443 deaktiviert haben, müssen Sie diese wieder aktivieren .
Aktivieren Sie DOS / ADP und ändern Sie die Empfindlichkeitseinstellungen:
[uOS]Security Policy > DoS Prevention > DoS Prevention Policy[ZLD]Security Policy > ADP
- Aktivieren Sie die DoS-Prävention mit niedriger Empfindlichkeit. Wenn der Angriff schwerwiegend ist, empfehlen wir, die Empfindlichkeit zu erhöhen (für den Anfang auf mittel) und die Dauer zu blockieren
Externe Sperrliste aktivieren
Hinweis: Sie benötigen eine Gold Security Pack-Lizenz, um diese Lösung nutzen zu können.
[uOS]Sicherheitsdienste > Externe Sperrliste > IP-Reputation
[ZLD]Sicherheitsdienste > Reputationsfilter > IP-Reputation > Sperrliste
Die Quell-URL wird von unseren Backend-Daten gesammelt. Es wird empfohlen, dass Sie sie stündlich aktualisieren. (ZLD empfiehlt, täglich zu aktualisieren)
Abschließende Überlegungen
Der jüngste DDoS-Angriff macht deutlich, wie wichtig es ist, wachsam mit der Cybersicherheit umzugehen. Wenn Sie die empfohlenen Maßnahmen ergreifen, können Sie das Risiko weiterer Störungen erheblich verringern und Ihr Netzwerk vor potenziellen Bedrohungen schützen. Wenn Sie Fragen haben oder weitere Hilfe benötigen, zögern Sie bitte nicht, sich an unser Support-Team zu wenden. Bleiben Sie sicher und wachsam.