DDoS-AttackeDas Internet hat keine Verstopfung

Eine Anti-Spam-Organisation wurde das Opfer einer gewaltigen DDoS-Attacke. Doch Berichte über eine Gefahr für das gesamte Internet sind reichlich übertrieben. von 

DE-CIX

Glasfaserleitungen der Firma DE-CIX in Frankfurt am Main  |  © Boris Roessler / dpa

"Der größte Angriff aller Zeiten hat das gesamte Internet verlangsamt", titelte die BBC. "Attacke verstopft das Internet", schrieb die New York Times. "Spam-Streit bremst das komplette Internet", lautete die Schlagzeile bei Spiegel Online. Das klingt spektakulär, sogar beängstigend. Es stimmt bloß nicht. Stattdessen fielen einige Medien auf einen PR-Coup herein.

Der vermeintlich "größte Angriff aller Zeiten" war ein Racheakt an Spamhaus, einer Non-Profit-Organisation mit Sitz in Genf und London. Spamhaus erstellt aktuelle Listen, auf denen die größten Versender von Spam landen. Mithilfe dieser Listen können Unternehmen wie zum Beispiel E-Mail-Provider ihre Kunden vor Spam schützen. Vor Kurzem landete auch der niederländische Webhoster Cyberbunker oder zumindest einige seiner Kunden auf der schwarzen Liste von Spamhaus. Cyberbunker hat verschiedene Kunden, darunter wohl auch Spammer. Vermutlich haben die sich zusammengetan, um Selbstjustiz an Spamhaus zu üben.

Anzeige

Am 19. März starteten sie eine sogenannte DDoS-Attacke (Distributed Denial of Service) auf Spamhaus. Dabei werden die Server des Opfers mit sinnlosen Massenabfragen lahmgelegt. Wer in diesem Fall der Kopf der Angreifer ist, ist nicht ganz klar. Zwar prahlte Sven Olaf Kamphuis, der als Betreiber von Cyberbunker gilt, in einem Chat mit Spiegel Online, er habe dabei geholfen, betroffene Kunden von Cyberbunker zusammenzubringen und die Attacke zu koordinieren. Auf seiner Facebook-Seite dagegen distanziert er sich von der Aktion.

Um die DDoS-Attacke abzuwehren, engagierte Spamhaus den Dienstleister CloudFlare. Dem gelang es, die Massenabfragen auf sehr viele Server zu verteilen, wodurch ihnen die Wucht genommen wurde.

Patrick Beuth
Patrick Beuth

Patrick Beuth ist Redakteur im Ressort Digital bei ZEIT ONLINE. Seine Profilseite finden Sie hier.

In den folgenden Tagen änderten die Angreifer ihre Taktik. Sie griffen nicht mehr direkt die Server von Spamhaus an, sondern CloudFlare beziehungsweise die Netzwerk-Provider von CloudFlare. Sie machten sich eine lange bekannte Schwäche in der Infrastruktur des Internets zunutze, dem Domain Name System (DNS), wie CloudFlare-CEO Matthew Prince in einem Blogeintrag erklärt.

Hier ist ein technischer Exkurs nötig: Das DNS übersetzt Web-Adressnamen wie www.zeit.de in IP-Adressen wie 217.13.68.220. Es funktioniert also wie eine Art Telefonbuch für Internetadressen. Dazu werden Server eingesetzt, die DNS-Resolver heißen. Viele dieser Resolver sind so konfiguriert, dass sie nur auf Anfragen aus dem eigenen lokalen Netz antworten, also zum Beispiel aus dem Unternehmen, das den Server selbst betreibt. Mindestens 25 Millionen DNS-Resolver in aller Welt aber sind offen und auffindbar. Sie antworten auf jede Anfrage, egal woher.

Die Angreifer fluteten einige Tausend dieser offenen DNS-Resolver mit kurzen Anfragen, auf die jeder Resolver eine lange, also datenintensive Antworte geben musste. Dabei fälschten die Angreifer ihre IP-Adresse und gaben sich als Rechner von CloudFlare aus. So verwischten sie ihre Spuren. Aber was noch wichtiger ist: die langen Antworten der Resolver gingen an den vermeintlichen Absender, also an CloudFlare.

Leserkommentare
  1. ...über das Netz verbreiten.

    "Nur die Paranoiden überleben." - Andrew Grove

  2. "Wir müssen nur einsehen das wir alle eine Sub-Domain sein wollen, genau wie China".
    Danke Spamhaus.

    Neulich habe ich erstens eine Weile suchen mussen, zweitens, aber primär, um überhaupt rauszufinden was ich da bewundern darf, erfahren das es ein ukrainisches youtube gibt, und zwar unter einer third-level Domain. da gibt es anders als auf youtube.de oder evtl. auch außerhalb Deutschlands, wobei mir das früher nicht auffiel als man noch so ohne Visum youtube usa anklicken konnte, also da auf dem ukrainischen gibt's zwar jede Menge Kinder in Bikinis, aber mit der GEMA arbeiten die einwandfrei zusammen.

  3. 3. [...]

    Entfernt. Bitte beteiligen Sie sich mit konstruktiven Beiträgen. Danke, die Redaktion/sam

    Eine Leserempfehlung
    Reaktionen auf diesen Kommentar anzeigen

    das mein Beitrag nicht als "konstruktiv" erkannt wurde. Bei der Qualität die hier zu Netzthemen abgesondert wird, ist es auch kein Wunder. Entschuldigung das ich das Urteilsvermögen der Redaktion überschätzt habe.

  4. [...] Natürlich gabs Performanceprobleme. Sogar erhebliche! Und es scheint auch noch zuende. Cloudflare scheint auch heute wieder massiv angegriffen zu werden, jedenfalls sind die zeitweise nur schwer erreichbar. Mag sein, dass man das nicht merkt, wenn man immer noch mit Modem am Netz ist, aber mit einem 100Mb Netzzugang merkt man die Verlangsamung schon sehr deutlich.

    Gekürzt. Bitte formulieren Sie auch Kritik sachlich und respektvoll. Danke, die Redaktion/sam

    2 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen
    • hairy
    • 28. März 2013 18:11 Uhr

    http://www.internettraffi...

    dort 21.3. ... nix erheblich. und heute gleich garkeine auffälligkeiten.

  5. Eine weitere Lektion die man daraus mitnehmen könnte wäre, dass die Zentralisierungs- und Regulierungspläne einiger Regierungen (China/Russland) sehr wohl dazu führen könnten dass derartige Angriffe zukünftig großflächigere Auswirkungen haben. Eine Segmentierung in nationale "Intranets" wie auf der WCIT gefordert bedroht die Dezentralisiertheit des Netzes und damit eine seiner größten Stärken, die nicht aufgegeben werden sollte.

  6. gab es haufenweise, die Darstellung hier im Artikel ist nicht vollständig. Auch wenn es beim innerdeutschen Verkehr nicht zu merklichen Verzögerungen gekommen sein sollte, erschien Deutschland vom weiter entfernten Ausland her gesehen wie abgeschaltet.

    Erfahrungen vom Zugriff aus Indien: Ab Samstag Mittag (indischer Zeit) liefen nur noch wenige deutsche Seiten flüssig, und der Zugriff beispielsweise auf auf Seiten von Fernsehsendern wie RTL/VOX oder die ZDF-Mediathek war total im Eimer. Stellenweise hat sich da nicht mal mehr die Einstiegsseite gezeigt, an Videoabrufe war gar nicht zu denken. Die meisten Zeitungsseiten haben sich auch bestenfalls mühsam aufgebaut, falls überhaupt. Nicht mal Skypen hat am Wochenende funktioniert, auch da gab es dauernd timeouts.

    Die Störungen betrafen aber nicht alle Server gleichermaßen - beispielsweise Radiosender wie WDR2 oder SR3 gingen völlig problemlos. Und auch die einzelnen Subnetze sind wohl ganz unterschiedlich betroffen gewesen - Hetzner lief problemlos, Tiskali nicht, um nur zwei zu nennen.

    Der Zugriff auf Server in den USA oder Japan lief dagegen völlig unverändert mit üblichen Laufzeiten.

    Unser Provider konnte nichts an der Situation ändern.

    Das Internet hat also von Samstag bis gestern früh nicht funktioniert, jedenfalls nicht zwischen Indien und Deutschland. Und auch bis jetzt treten immer wieder Störungen auf - die Lage ist also immer noch nicht stabil.

    So viel zu den Thesen hier im Artikel ...

    Reaktionen auf diesen Kommentar anzeigen
    • hairy
    • 28. März 2013 18:18 Uhr

    Resultat der Umleitung, mit der Cloudflare per anycast den traffic von Spamhaus abwenden wollte, aber nicht weit genug verteilt hat.

  7. sind durchaus beunruhigend, war es doch in erster Linie ein Angriff einer kleinen Gruppe und dennoch hat es dazu geführt, dass der Londoner Knotenpunkt an seine Kapazitätsgrenze getrieben werden konnte. Netzwerkinterfaces sind nur bis zu einer gewissen, technischen Grenze belastbar, darüber hinaus wird die Leitung einfach verstopft mit den ganzen Anfragen. Das Netz ist nicht unendlich groß und die Leitungen sind nicht unendlich leistungsfähig. Ein Angriff in der richtigen Größenordnung würde Knotenpunkte lahmlegen und mit der richtigen Strategie auch das komplette DNS. Ein Ausfall der Kommunikationsstrukturen hätte bei ausreichender Dauer dramatische Folgen für unsere hochtechnisierte und vernetzte Gesellschaft (nur einmal als Stichwort eingeworfen: die Telekom will bis 2015 ihr komplettes Telefonnetz auf paketbasierte Kommunikation umstellen).

    Die Artikel in den Medien möge reißerisch gewesen sein, der Blog spricht aber wahre Worte. 300GBit/s Traffic sind verdammt viel, Glasfaserleitungen sind damit deutlich ausgereizt und selbst wenn man Load Balancing über mehrere Kanäle betreiben würde: die Grundlast im Netz bleibt bestehen und die ist auch nicht gerade gering.

    Es IST möglich mit gezielten Angriffen durch eben die offenen Domain Resolver (werte Admins, macht eure Hausaufgaben!) Knotepunkte und Netzinfrastruktursysteme lahm zu legen. Cyber Warfare ist keine Science FictioN!

    • hairy
    • 28. März 2013 18:11 Uhr

    http://www.internettraffi...

    dort 21.3. ... nix erheblich. und heute gleich garkeine auffälligkeiten.

    Antwort auf "Klugscheisser"
    Reaktionen auf diesen Kommentar anzeigen

    Wenn nichts mehr durchkommt? Glaube nur den Studien die du selbst gefälscht hast

    7Past Days geht leider nur zurück bis zum 21.

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte DNS | IP-Adresse | Internet | Provider | Chat | Selbstjustiz
Service