Wie meine Katze mich auf einen DDoS-Angriff aufmerksam machte

 (dannyguo.com)
3 Punkte von GN⁺ 2024-04-15 | 1 Kommentare | Auf WhatsApp teilen

Die Katze, die mich auf einen DDoS-Angriff aufmerksam machte

  • Als der Autor bei einem Startup arbeitete, gab es keine offizielle On-Call-Rotation
    • Da On-Call belastend ist, wurde bewusst darauf verzichtet
    • Stattdessen achteten die Teammitglieder gemeinsam auf dringende Alarme
  • Eines Tages wachte er gegen 3 Uhr morgens auf, weil seine Katze ihm den Kopf putzte
    • Das Putzen an sich war nichts Ungewöhnliches, aber in 9 Jahren hatte sie das zum ersten Mal getan, während er schlief
  • Als er auf sein Handy schaute, stellte er fest, dass wenige Minuten zuvor ein AWS-CloudWatch-Alarm ausgelöst worden war
    • Es handelte sich um eine Warnung wegen ungesunder Targets im Load Balancer
  • Als die Firmenwebsite nicht erreichbar war, prüfte er das Monitoring-Dashboard
    • Von vielen IP-Adressen gingen große Mengen an Requests ein, überwiegend aus dem Ausland
    • Das Produkt des Unternehmens war nur in den USA verfügbar, daher war ausländischer Traffic ungewöhnlich
    • Er erkannte, dass es sich um einen Distributed-Denial-of-Service-Angriff (DDoS) handelte
  • Zunächst wollte er die IP-Adressen auf Serverebene blockieren, erinnerte sich dann aber daran, dass AWS WAF (Web Application Firewall) bereits eingerichtet war
    • Um den akuten Ausfall sofort zu adressieren, richtete er eine Regel ein, die Requests aus anderen Ländern blockierte
    • Diese Maßnahme blockierte Hunderttausende Requests, und die Website begann wieder zu funktionieren
  • Später stellte er fest, dass zum Zeitpunkt des Angriffs eine Nachricht an die Kundensupport-E-Mail eingegangen war
    • Der Absender behauptete in miserabler Grammatik, eine Schwachstelle in der Website gefunden zu haben, mit der sich das gar nicht genutzte Apache zum Absturz bringen lasse
    • Für 5.000 US-Dollar in Bitcoin wolle er eine "Lösungsdatei" bereitstellen, doch der Autor entschied sich, nicht zu antworten
  • Der Autor kann den perfekten Zeitpunkt, zu dem seine Katze ihn weckte, bis heute kaum glauben
    • Man könnte vermuten, dass das Handy wegen des AWS-Alarms vibrierte oder ein Geräusch machte und die Katze deshalb zuerst aufwachte, doch nachts war der Nicht-stören-Modus aktiviert
    • Deshalb glaubt er lieber, dass die Katze irgendwie spürte, dass bis zum Morgen etwas nicht warten konnte
    • Es war jedenfalls deutlich angenehmer, so geweckt zu werden als von einem PagerDuty-Alarm

Meinung von GN⁺

  • In der frühen Startup-Phase ist es zwar tatsächlich schwierig, eine formale On-Call-Rotation einzuführen, aber zumindest ein grundlegendes Monitoring- und Alerting-System sollte vorhanden sein. Dass alle Teammitglieder ständig in Bereitschaft sind, ist nicht nachhaltig
  • Dass AWS WAF im Voraus eingerichtet war, scheint die Reaktion in der akuten Situation deutlich erleichtert zu haben. Das ist ein gutes Beispiel für die Bedeutung vorbeugender Maßnahmen gegen Sicherheitsbedrohungen
  • Nicht auf die E-Mail des Angreifers zu antworten, war eine kluge Entscheidung. Auf Erpressung einzugehen, kann größere Probleme nach sich ziehen
  • Mit einem ML-basierten Anomalieerkennungssystem könnte künftig statt der Katze ein Algorithmus solche Angriffe frühzeitig erkennen. Trotzdem sollte man die Intuition von Haustieren vielleicht nicht unterschätzen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-04-15
Hacker-News-Kommentare
  • Die Gefahr durch Insider wird leicht übersehen. Bei einer grammatikalisch verdächtigen Droh-E-Mail mit Bitcoin-Lösegeldforderung wäre ich nicht auf die Idee gekommen, dass eine Katze hinter dem Angriff stecken könnte
  • In Kansas gibt es fast nie Erdbeben, aber das ist die einzige Erfahrung mit einem, an die ich mich erinnere:
    • Eine Siamkatze kratzte mich im Gesicht wach und setzte sich dann knurrend an den Bettrand (ungewöhnliches Verhalten)
    • 30 Sekunden später begann das Beben. Ich weiß nicht, wie sie es wusste, aber es war erstaunlich. Sie ist 2020 gestorben, und ich vermisse sie noch immer
  • Vielleicht hat sie selbst im Lautlosmodus das Flackern des Bildschirms bemerkt
  • In meinem ersten Job hatte ein Kollege ein Gespür dafür, Vorfälle im Monitoring-Dashboard zu erkennen, noch bevor sie eintraten. Er konnte nie genau erklären, was es war, aber er merkte, dass etwas nicht stimmte, und meist ging kurz darauf der Alarm los
  • Eine lächerliche Lösegeldforderung von 5.000 Dollar. Als wir 2016 Ziel eines DDoS-Angriffs waren, hatten wir zwar Bitcoin bereitliegen, beschlossen aber, es zu ignorieren. Stattdessen gaben wir viel mehr Geld für DDoS-Abwehr aus, aber es ist es wert, Erpressern nichts zu zahlen
  • Ich habe überlegt, die Erpresser zu provozieren, aber das wäre riskant, weil man dadurch eher auf ihrem Radar bleibt. Nicht zu reagieren ist die einzige Lösung
  • Jemand aus der Familie erzählte, dass eine Katze vor einem Leck am Geschirrspüler gewarnt habe. Ob die Katze retten oder töten wollte, ließ sich schwer entscheiden
  • Man könnte empfindlich auf elektrische und magnetische Felder reagieren. Wenn ich auf einer elektrischen Heizdecke oder einer magnetischen Matratze schlief, fühlte ich mich am nächsten Tag schlecht, und wenn ich lange vor einem CRT-Monitor saß, bekam ich Durchfall. Nach dem Wechsel zu LCD oder Laptop verschwanden die Symptome. Wenn ich beim Schlafen rechts einen WLAN-Router und links ein Smartphone mit YouTube habe, habe ich seltsame Träume und wache früh auf. Liegt das Smartphone rechts, sind die Symptome schwächer
  • Ich vermute, die Katze hat ebenfalls lautlos irgendetwas wahrgenommen
  • Das erinnert mich an das Buch "Der Hund, der wusste, wann sein Herr nach Hause kommt"
  • Ich dachte, die Katze hätte den Futterspender mit dem Alarm verbunden, aber es ist einfach eine niedliche Anekdote. Ich würde gern den Namen der Katze wissen
  • Gibt es überhaupt eine Möglichkeit, DDoS-Angriffe vollständig zu verhindern? Im Vergleich zu anderen Bedrohungen sind das primitive Angriffe, die sich auch ohne besondere Technik oder Kenntnisse nur mit Skripten oder Diensten durchführen lassen