Glasfaserleitungen der Firma DE-CIX in Frankfurt am Main © Boris Roessler / dpa

"Der größte Angriff aller Zeiten hat das gesamte Internet verlangsamt", titelte die BBC. "Attacke verstopft das Internet", schrieb die New York Times. "Spam-Streit bremst das komplette Internet", lautete die Schlagzeile bei Spiegel Online. Das klingt spektakulär, sogar beängstigend. Es stimmt bloß nicht. Stattdessen fielen einige Medien auf einen PR-Coup herein.

Der vermeintlich "größte Angriff aller Zeiten" war ein Racheakt an Spamhaus, einer Non-Profit-Organisation mit Sitz in Genf und London. Spamhaus erstellt aktuelle Listen, auf denen die größten Versender von Spam landen. Mithilfe dieser Listen können Unternehmen wie zum Beispiel E-Mail-Provider ihre Kunden vor Spam schützen. Vor Kurzem landete auch der niederländische Webhoster Cyberbunker oder zumindest einige seiner Kunden auf der schwarzen Liste von Spamhaus. Cyberbunker hat verschiedene Kunden, darunter wohl auch Spammer. Vermutlich haben die sich zusammengetan, um Selbstjustiz an Spamhaus zu üben.

Am 19. März starteten sie eine sogenannte DDoS-Attacke (Distributed Denial of Service) auf Spamhaus. Dabei werden die Server des Opfers mit sinnlosen Massenabfragen lahmgelegt. Wer in diesem Fall der Kopf der Angreifer ist, ist nicht ganz klar. Zwar prahlte Sven Olaf Kamphuis, der als Betreiber von Cyberbunker gilt, in einem Chat mit Spiegel Online, er habe dabei geholfen, betroffene Kunden von Cyberbunker zusammenzubringen und die Attacke zu koordinieren. Auf seiner Facebook-Seite dagegen distanziert er sich von der Aktion.

Um die DDoS-Attacke abzuwehren, engagierte Spamhaus den Dienstleister CloudFlare. Dem gelang es, die Massenabfragen auf sehr viele Server zu verteilen, wodurch ihnen die Wucht genommen wurde.

In den folgenden Tagen änderten die Angreifer ihre Taktik. Sie griffen nicht mehr direkt die Server von Spamhaus an, sondern CloudFlare beziehungsweise die Netzwerk-Provider von CloudFlare. Sie machten sich eine lange bekannte Schwäche in der Infrastruktur des Internets zunutze, dem Domain Name System (DNS), wie CloudFlare-CEO Matthew Prince in einem Blogeintrag erklärt.

Hier ist ein technischer Exkurs nötig: Das DNS übersetzt Web-Adressnamen wie www.zeit.de in IP-Adressen wie 217.13.68.220. Es funktioniert also wie eine Art Telefonbuch für Internetadressen. Dazu werden Server eingesetzt, die DNS-Resolver heißen. Viele dieser Resolver sind so konfiguriert, dass sie nur auf Anfragen aus dem eigenen lokalen Netz antworten, also zum Beispiel aus dem Unternehmen, das den Server selbst betreibt. Mindestens 25 Millionen DNS-Resolver in aller Welt aber sind offen und auffindbar. Sie antworten auf jede Anfrage, egal woher.

Die Angreifer fluteten einige Tausend dieser offenen DNS-Resolver mit kurzen Anfragen, auf die jeder Resolver eine lange, also datenintensive Antworte geben musste. Dabei fälschten die Angreifer ihre IP-Adresse und gaben sich als Rechner von CloudFlare aus. So verwischten sie ihre Spuren. Aber was noch wichtiger ist: die langen Antworten der Resolver gingen an den vermeintlichen Absender, also an CloudFlare.