DDOS attack on our DNS infrastructure.
Incident Report for Universal Cloud
Postmortem

Debrief: DDoS Attack on DNS Servers

[Nederlandse versie hieronder]

Date:

[3-Oct-2023]

Summary:

Our organization experienced a DDoS attack targeted at our DNS servers today. This follows a series of similar attacks in the previous weeks. In response to the earlier incidents, we had implemented several mitigation measures, including the installation of additional monitoring systems, imposing query limits on our DNS servers, and updating backend software. Today's postmortem aims to evaluate the effectiveness of these measures and detail further steps for enhancement.

Global Timeline of Events:

[4-Sep-2023]:

  • Initial detection of abnormal traffic patterns targeting our network.

   
[10-Sep2023]:

  • Implemented a firmware upgrade on our firewalls.

   
[21-Sep-2023]:

  • DNS server software updated.

   
[30-Sep-2023]:

  • Restricted DNS sessions by configuration changes. Added additional logging.

[2-Oct-2023]:

  • Added security monitoring tools to gain more insight on the attack surface and capture

extended logging in case of a new attack. This without the risk of negative performance impact of the network.

  • Block specific traffic from IP’s that are marked as suspicious.

 
[3-Oct-2023]:

  • Engaged with the firewall vendor for further strengthening the configurations.
  • Consult with the network supplier about the ineffectiveness of their standard DDoS prevention measures.
  • Scheduled tests for the evening to evaluate backup plans and additional mitigation strategies.

   

What Went Right:

  1. Preventive Measures: The changes made after last week's attack, including traffic analysis tools and limiting DNS queries, proved effective in reducing the impact of today's DDoS attack.
  2. Rapid Response: Our team quickly identified the attack and engaged with partners (firewall vendor and network supplier) to devise solutions.

   

What Went Wrong:

  1. Network Supplier's DDoS Prevention: Our network supplier's standard DDoS prevention mechanism failed to activate during the attack. The reason for this failure is under investigation.
  2. Firewall Configurations: Despite recent enhancements, our firewall configuration still requires improvements to fend off such attacks more effectively.

   

Lessons Learned:

  • Continuous Monitoring: The importance of persistent monitoring and timely detection is paramount.
  • Vendor Collaboration: Close collaboration with vendors can lead to rapid solutions during crises.

   

Next Steps:

  1. Firewall Enhancement: Collaborate further with the firewall vendor to fortify configurations against DDoS attacks.
  2. Engage Network Supplier: Understand the failure of their DDoS prevention mechanism and ensure its reliability in the future.
  3. Backup Plan Testing: Conduct tests to evaluate and implement a solid backup plan if primary defenses falter.
  4. Regular Review: Institute a routine review of our security posture and DDoS mitigation strategies to adapt to evolving threats.

   

Conclusion:

While the preventive measures installed after last week's attacks proved partly successful, there is a continuous need for improvement. Our commitment to ensuring the security and reliability of our services remains steadfast. We will take every step necessary, in collaboration with our partners, to fortify our defenses and prevent future disruptions.

##################################################################################

Informatie over DDoS-aanval op DNS-servers 

 

Datum: 
[3-okt-2023] 

 Samenvatting: 

Onze organisatie heeft vandaag te maken gehad met een DDoS-aanval gericht op onze DNS-servers. Dit volgt op een reeks soortgelijke aanvallen in de voorgaande weken. Als reactie op de eerdere incidenten hadden we verschillende mitigerende maatregelen geïmplementeerd, waaronder de installatie van extra monitoringsystemen, het aanscherpen van querylimieten op  onze DNS-servers en het bijwerken van backend software. Dit informatie leaflet is bedoeld om de effectiviteit van deze maatregelen te evalueren en verdere stappen voor verbetering te beschrijven. 

 

Globale tijdlijn van gebeurtenissen: 

[4-sep-2023]:
Eerste detectie van abnormale verkeerspatronen gericht op ons netwerk (niet gestempeld als DDOS door firewall door netwerkpartner).

[10-sep2023]
Een firmware-upgrade geïmplementeerd op de firewalls.

[21-sep-2023]:
DNS server software updatet.

[30-sep-2023]:
Beperking van toegestane DNS-sessies door configuratiewijzigingen. Extra logboekregistratie toegevoegd. 

[2-okt-2023]:
Extra beveiligingsmonitoringtools toegevoegd om meer inzicht te krijgen in het aanvalsoppervlak en uitgebreide logboekregistratie vast te leggen in geval van een nieuwe aanval. Dit zonder het risico van negatieve impact op de prestaties van het netwerk.
Blokkade van specifiek verkeer van IP adressen die als verdacht zijn gemarkeerd.

[3-okt-2023]: 
In samenwerking met firewall leverancier de configuratie robuuster gemaakt. Overleg met de netwerkleverancier over de ineffectiviteit van hun standaard DDoS-preventiemaatregelen. Geplande tests voor de avond om back-up plannen en aanvullende mitigatiestrategieën te evalueren.

Wat ging er goed: 

  1. Preventieve maatregelen: de wijzigingen die na de aanval van vorige week zijn aangebracht, waaronder verkeersanalysetools en het beperken van DNS-query's, bleken effectief in het verminderen van de impact van de huidige DDoS-aanval.
  2. Snelle reactie: ons team identificeerde de aanval snel en ging in gesprek met partners (firewallleverancier en netwerkleverancier) om oplossingen te implementeren.      

Wat ging er mis: 

  1. DDoS-preventie van netwerkleverancier: het standaard DDoS-preventiemechanisme van onze netwerkleverancier kon niet worden geactiveerd tijdens de aanval. De reden hiervoor wordt onderzocht.
  2. Firewallconfiguraties: ondanks recente verbeteringen vereist onze firewallconfiguratie nog steeds verbeteringen om dergelijke aanvallen effectiever af te weren.

Lessons learned: 

  • Continue monitoring: Het belang van continue monitoring en tijdige detectie is van het grootste belang.
  • Samenwerking met leveranciers: nog nauwe samenwerking met leveranciers kan leiden tot snelle oplossingen tijdens crises.

Volgende stappen: 

  1. Firewall Verbetering:  Verdere samenwerking met de leverancier van de firewall om configuraties te versterken tegen DDoS-aanvallen.
  2. 2) Verdere samenwerking met netwerkleverancier: begrijp het falen van hun DDoS-preventiemechanisme en zorg voor de betrouwbaarheid ervan in de toekomst.
  3. Back-up plan testen:  Tests uitvoeren om een solide back-up plan te evalueren en te implementeren als de primaire verdediging faalt. 
  4. Regelmatige evaluatie:  Routinematige evaluatie van onze beveiliging en DDoS-mitigatiestrategieën om ons aan te passen aan evoluerende bedreigingen.

Conclusie: 

Hoewel de preventieve maatregelen die na de aanvallen van vorige week zijn geïnstalleerd deels succesvol bleken, is er voortdurend behoefte aan verbetering. Onze toewijding om de veiligheid en betrouwbaarheid van onze diensten te waarborgen, blijft standvastig. We hebben al enkele belangrijke stappen gezet en zullen in samenwerking met onze partners alle nodige stappen zetten om onze verdediging te versterken en toekomstige verstoringen te voorkomen.

Posted Oct 04, 2023 - 10:08 CEST
Resolved
The log files captured during the attack will be thoroughly analyzed to bolster our defenses against similar threats in the future.
Posted Oct 03, 2023 - 11:59 CEST
Update
We are continuing to monitor for any further issues.
Posted Oct 03, 2023 - 10:55 CEST
Monitoring
A fix has been implemented and we are monitoring the results.
Posted Oct 03, 2023 - 10:54 CEST
Investigating
We are currently experiencing a DDOS attack on our DNS infrastructure.
Posted Oct 03, 2023 - 09:36 CEST
This incident affected: Infrastructure (DNS).
Current Status Powered by Atlassian Statuspage