Computer und Kommunikation / Archiv /

"Das Ganze scheint ein gelungener PR-Coup zu sein"

Aggressive Spammer bremsten angeblich das Internet aus

Mit einem Tempo von 300 Gigabit pro Sekunde  schickten Angreifer Daten an die Spamhaus-Server.
Mit einem Tempo von 300 Gigabit pro Sekunde schickten Angreifer Daten an die Spamhaus-Server. (picture alliance / dpa - Jana Pape)

Wie gleich mehrere Medien berichteten, habe ein Streit zwischen einer Non-Profit-Organisation und einem Web-Hoster letztendlich dazu geführt, das in der zurückliegenden Woche das Internet langsamer war. Offenbar eine große Übertreibung, erläutert IT-Journalist Marcus Schuler im Gespräch.

Manfred Kloiber: Die Nachrichten, die die britische BBC und "Spiegel Online" diese Woche verbreiteten – sie klangen dramatisch: Eine DDos-Attacke riesigen Ausmaßes habe den Internetverkehr weltweit langsamer gemacht. Auslöser sei ein Streit gewesen zwischen einer Non-Profit-Organisation, die das Netz vor Spam bewahren will und einem niederländischen Web-Hoster. Marcus Schuler, sie haben diese bizarre Auseinandersetzung und die aufgeregten Nachrichten darum verfolgt. Was ist eigentlich dran?

Marcus Schuler: Das Ganze scheint ein gelungener PR-Coup zu sein, auf den nicht nur die BBC und "Spiegel Online hereinfielen", sondern auch die renommierte "New York Times". Nutznießer war vor allem das amerikanische Unternehmen Cloudflare, das nach eigenem Bekunden, die Erreichbarkeit von Webseiten verbessert, indem es Anfragen über seine Infrastruktur verteilt. Dennoch macht die Nachricht auf einen Missstand im DNS-System des Internets aufmerksam, gegen den bislang offenbar wenig unternommen wurde.

Kloiber: Gehen wir aber nochmal auf den Streit ein, der das Ganze ja ausgelöst haben soll. Worum ging es eigentlich, was war der Grund?

Schuler: Spamhaus ist eine gemeinnützige Organisation mit Sitz in Genf und in London. Und diese Firma stellt Listen mit bekannten Spammern zusammen, die also zum Beispiel via E-Mail Spam verschicken. Und auf einer dieser Listen landete auch ein Web-Hoster aus den Niederlanden, beziehungsweise einer oder mehrere seiner Kunden. Dieser Web-Hoster heißt Cyberbunker und er brüstet sich damit, alles zu hosten, auch illegales, außer terroristischen oder kinderpornografischen Inhalten. Und der Chef der Firma Cyberbunker, Sven Olaf Kamphuis, will den Angriff angeblich unterstützt haben. Das jedenfalls sagte er Spiegel Online, wenngleich er sich später via Facebook von der ganzen Aktion distanzierte.

Kloiber: Wie lief denn diese DDoS-Attacke ab, wie muss man sich das vorstellen?

Schuler: Der Angriff muss wohl am 19. März begonnen haben. Zunächst standen die Server von Spamhaus im Fokus. Die wurden mit Tausenden Anfragen traktiert. In Zahlen: 300 Gigabit pro Sekunde an Daten schickte man an die Spamhaus-Server. Das entspricht ungefähr acht vollgeschriebenen DVDs. Das Ziel: Ihre Blockade. Doch Spamhaus reagierte, man holte Cloudflare ins Boot und dieser Dienstleister sorgte dafür, dass die Last der Anfragen abgemildert wurde, weil man sie nämlich umleitete. So blieb Spamhaus im Netz erreichbar. Doch daraufhin änderten die Angreifer ihre Strategie. Jetzt wurden nämlich Cloudflare und dessen weltumspannende Infrastruktur zum Ziel.

Kloiber: Bei denen wurden dann die sogenannten DNS-Resolver attackiert.

Schuler: Genau. Das sind quasi die Telefonbücher des Internets. Und die übersetzen Adressen wie dradio.de in eine Zahlenkombination, die dann den Nutzer auf den Server leitet, wo zum Beispiel die Internetseiten des Deutschlandfunks gehostet sind. Von diesen DNS Servern gibt es weltweit rund 25 Millionen. Diese Server sind offen. Das ist übrigens der Misstand, über den wir eingangs sprachen. Und jeder, der dort eine Anfrage hinschickt, erhält auch eine Antwort. Die Angreifer überfluteten viele der DNS-Server mit Anfragen, gaben sich jedoch als Cloudflare aus und dorthin schickten die Server dann wiederum ihre Antworten. Und die Folge waren verstopfte Leitungen in der Infrastruktur von Cloudflare. Dabei kommt dem Wort Infrastruktur eine besondere Bedeutung zu: Cloudflare mietet nämlich Bandbreite von großen Anbietern. Und deren Leitungen waren zum Teil verstopft.

Kloiber: Herr Schuler, es heißt ja immer wieder, das Internet sei in den vergangenen Tagen langsamer geworden. Stimmt das jetzt?

Schuler: Experten sind sich einig, dass solch eine Attacke das Internet in seiner Gesamtheit nicht in die Knie zwingen kann. Wie bereits erläutert: Mit einer Datenmenge von 300 Gigabit pro Sekunde wurde da angegriffen. Zum Vergleich: Der wichtigste deutsche Knotenpunkt, der DECIX in Frankfurt, erreicht bei Spitzenlast einen sekündlichen Datendurchsatz von 2,5 Terabit. Auf entsprechenden Monitoring-Seiten, die den Datenverkehr weltweit messen, konnte man allerdings sehen, dass der Datendurchsatz im westlichen Europa im fraglichen Zeitraum höher als üblich war. Aber West-Europa ist eben nicht der Rest der Welt.

Zum Themenportal "Risiko Internet"

Beitrag hören

 
 
Dradio Audio
Kein Audio aktiv
 
 
 
 
 

Computer und Kommunikation

Open Source SoftwareKritiker zweifeln an der Zuverlässigkeit

Auf einem Computermonitor ist der Binärcode zu sehen.

Open Source Software galt bislang als besonders sicher. Das Prinzip der vielen Augen wurde als weniger anfällig für schwerwiegende Fehler eingestuft. Das hat sich durch die Entdeckung des Programmierfehlers "Heartbleed" geändert.

Googles "Project Shield"Hilfe vom großen Bruder

Passanten vor dem Hauptgebäude des Suchmaschinenunternehmens Google in Mountain View im US-Bundestaat Kalifornien

Um regierungskritische Gegner mundtot zu machen, werden oft ungeliebte Webseiten lahmgelegt. Die Server werden dabei mit einer Flut manipulierter Anfragen überlastet. Schutz vor solch politisch motivierten DDoS-Attacken bietet der Google-Dienst "Project Shields".

Das Digitale LogbuchEin Mobilfunkanbieter-Wechsel mit Tücken

Ein Chip für Mobiltelefone ist Träger verschlüsselter Daten.

Die Mobilfunknummer bei einem Providerwechsel mitzunehmen, ist gar nicht so einfach. Unser Autor Maximilian Schönherr über eine nicht ganz reibungslose Kommunikation mit dem neuen und alten Anbieter.