Abschlussanalyse des Falls
Am 29.01.2023 um 21:05 Uhr meldete unser Monitoring, dass die Anzahl möglicher Verbindungen zu unserem Nameserver ns1.cyon.ch aufgebraucht war. Eine erste Analyse ergab, dass ein DDoS-Angriff auf unsere Nameserver-Infrastruktur der Grund dafür war. Um 21:12 Uhr aktivierten wir deshalb unseren zusätzlichen DDoS-Schutz. Dabei wird mithilfe eines sogenannten Scrubbing Centers unerwünschter Datenverkehr herausgefiltert. Nach einem initialen Problem in der Kommunikation mit unserem Anti-DDoS-Partner, beruhigte sich die Lage um 21:48 Uhr wieder. Abfragen auf unsere Nameserver (ns1.cyon.ch und ns2.cyon.ch) waren dann wieder wie gewohnt möglich. Am folgenden Morgen, 30.01.2023, stellten wir um 05:34 Uhr einen weiteren Angriff fest. Die sofortige Aktivierung des DDoS-Schutzes brachte jedoch nicht sofort eine Beruhigung. Nach mehrmaliger Nachjustierung der DDoS-Filter durch unseren Partner hat sich die Lage um 07:33 Uhr wieder beruhigt.
Als direktes Learning aus dem Fall haben wir die Kommunikationswege mit unserem Anti-DDoS-Partner verbessert. Mittelfristig sind weitere Verbesserungen am Nameserver-Setup geplant, die unsere Nameserver robuster gegen DDoS-Angriffe machen.