Manfred Kloiber: Die Nachrichten, die die britische BBC und "Spiegel Online" diese Woche verbreiteten – sie klangen dramatisch: Eine DDos-Attacke riesigen Ausmaßes habe den Internetverkehr weltweit langsamer gemacht. Auslöser sei ein Streit gewesen zwischen einer Non-Profit-Organisation, die das Netz vor Spam bewahren will und einem niederländischen Web-Hoster. Marcus Schuler, sie haben diese bizarre Auseinandersetzung und die aufgeregten Nachrichten darum verfolgt. Was ist eigentlich dran?
Marcus Schuler: Das Ganze scheint ein gelungener PR-Coup zu sein, auf den nicht nur die BBC und "Spiegel Online hereinfielen", sondern auch die renommierte "New York Times". Nutznießer war vor allem das amerikanische Unternehmen Cloudflare, das nach eigenem Bekunden, die Erreichbarkeit von Webseiten verbessert, indem es Anfragen über seine Infrastruktur verteilt. Dennoch macht die Nachricht auf einen Missstand im DNS-System des Internets aufmerksam, gegen den bislang offenbar wenig unternommen wurde.
Kloiber: Gehen wir aber nochmal auf den Streit ein, der das Ganze ja ausgelöst haben soll. Worum ging es eigentlich, was war der Grund?
Schuler: Spamhaus ist eine gemeinnützige Organisation mit Sitz in Genf und in London. Und diese Firma stellt Listen mit bekannten Spammern zusammen, die also zum Beispiel via E-Mail Spam verschicken. Und auf einer dieser Listen landete auch ein Web-Hoster aus den Niederlanden, beziehungsweise einer oder mehrere seiner Kunden. Dieser Web-Hoster heißt Cyberbunker und er brüstet sich damit, alles zu hosten, auch illegales, außer terroristischen oder kinderpornografischen Inhalten. Und der Chef der Firma Cyberbunker, Sven Olaf Kamphuis, will den Angriff angeblich unterstützt haben. Das jedenfalls sagte er Spiegel Online, wenngleich er sich später via Facebook von der ganzen Aktion distanzierte.
Kloiber: Wie lief denn diese DDoS-Attacke ab, wie muss man sich das vorstellen?
Schuler: Der Angriff muss wohl am 19. März begonnen haben. Zunächst standen die Server von Spamhaus im Fokus. Die wurden mit Tausenden Anfragen traktiert. In Zahlen: 300 Gigabit pro Sekunde an Daten schickte man an die Spamhaus-Server. Das entspricht ungefähr acht vollgeschriebenen DVDs. Das Ziel: Ihre Blockade. Doch Spamhaus reagierte, man holte Cloudflare ins Boot und dieser Dienstleister sorgte dafür, dass die Last der Anfragen abgemildert wurde, weil man sie nämlich umleitete. So blieb Spamhaus im Netz erreichbar. Doch daraufhin änderten die Angreifer ihre Strategie. Jetzt wurden nämlich Cloudflare und dessen weltumspannende Infrastruktur zum Ziel.
Kloiber: Bei denen wurden dann die sogenannten DNS-Resolver attackiert.
Schuler: Genau. Das sind quasi die Telefonbücher des Internets. Und die übersetzen Adressen wie dradio.de in eine Zahlenkombination, die dann den Nutzer auf den Server leitet, wo zum Beispiel die Internetseiten des Deutschlandfunks gehostet sind. Von diesen DNS Servern gibt es weltweit rund 25 Millionen. Diese Server sind offen. Das ist übrigens der Misstand, über den wir eingangs sprachen. Und jeder, der dort eine Anfrage hinschickt, erhält auch eine Antwort. Die Angreifer überfluteten viele der DNS-Server mit Anfragen, gaben sich jedoch als Cloudflare aus und dorthin schickten die Server dann wiederum ihre Antworten. Und die Folge waren verstopfte Leitungen in der Infrastruktur von Cloudflare. Dabei kommt dem Wort Infrastruktur eine besondere Bedeutung zu: Cloudflare mietet nämlich Bandbreite von großen Anbietern. Und deren Leitungen waren zum Teil verstopft.
Kloiber: Herr Schuler, es heißt ja immer wieder, das Internet sei in den vergangenen Tagen langsamer geworden. Stimmt das jetzt?
Schuler: Experten sind sich einig, dass solch eine Attacke das Internet in seiner Gesamtheit nicht in die Knie zwingen kann. Wie bereits erläutert: Mit einer Datenmenge von 300 Gigabit pro Sekunde wurde da angegriffen. Zum Vergleich: Der wichtigste deutsche Knotenpunkt, der DECIX in Frankfurt, erreicht bei Spitzenlast einen sekündlichen Datendurchsatz von 2,5 Terabit. Auf entsprechenden Monitoring-Seiten, die den Datenverkehr weltweit messen, konnte man allerdings sehen, dass der Datendurchsatz im westlichen Europa im fraglichen Zeitraum höher als üblich war. Aber West-Europa ist eben nicht der Rest der Welt.
Zum Themenportal "Risiko Internet"
Marcus Schuler: Das Ganze scheint ein gelungener PR-Coup zu sein, auf den nicht nur die BBC und "Spiegel Online hereinfielen", sondern auch die renommierte "New York Times". Nutznießer war vor allem das amerikanische Unternehmen Cloudflare, das nach eigenem Bekunden, die Erreichbarkeit von Webseiten verbessert, indem es Anfragen über seine Infrastruktur verteilt. Dennoch macht die Nachricht auf einen Missstand im DNS-System des Internets aufmerksam, gegen den bislang offenbar wenig unternommen wurde.
Kloiber: Gehen wir aber nochmal auf den Streit ein, der das Ganze ja ausgelöst haben soll. Worum ging es eigentlich, was war der Grund?
Schuler: Spamhaus ist eine gemeinnützige Organisation mit Sitz in Genf und in London. Und diese Firma stellt Listen mit bekannten Spammern zusammen, die also zum Beispiel via E-Mail Spam verschicken. Und auf einer dieser Listen landete auch ein Web-Hoster aus den Niederlanden, beziehungsweise einer oder mehrere seiner Kunden. Dieser Web-Hoster heißt Cyberbunker und er brüstet sich damit, alles zu hosten, auch illegales, außer terroristischen oder kinderpornografischen Inhalten. Und der Chef der Firma Cyberbunker, Sven Olaf Kamphuis, will den Angriff angeblich unterstützt haben. Das jedenfalls sagte er Spiegel Online, wenngleich er sich später via Facebook von der ganzen Aktion distanzierte.
Kloiber: Wie lief denn diese DDoS-Attacke ab, wie muss man sich das vorstellen?
Schuler: Der Angriff muss wohl am 19. März begonnen haben. Zunächst standen die Server von Spamhaus im Fokus. Die wurden mit Tausenden Anfragen traktiert. In Zahlen: 300 Gigabit pro Sekunde an Daten schickte man an die Spamhaus-Server. Das entspricht ungefähr acht vollgeschriebenen DVDs. Das Ziel: Ihre Blockade. Doch Spamhaus reagierte, man holte Cloudflare ins Boot und dieser Dienstleister sorgte dafür, dass die Last der Anfragen abgemildert wurde, weil man sie nämlich umleitete. So blieb Spamhaus im Netz erreichbar. Doch daraufhin änderten die Angreifer ihre Strategie. Jetzt wurden nämlich Cloudflare und dessen weltumspannende Infrastruktur zum Ziel.
Kloiber: Bei denen wurden dann die sogenannten DNS-Resolver attackiert.
Schuler: Genau. Das sind quasi die Telefonbücher des Internets. Und die übersetzen Adressen wie dradio.de in eine Zahlenkombination, die dann den Nutzer auf den Server leitet, wo zum Beispiel die Internetseiten des Deutschlandfunks gehostet sind. Von diesen DNS Servern gibt es weltweit rund 25 Millionen. Diese Server sind offen. Das ist übrigens der Misstand, über den wir eingangs sprachen. Und jeder, der dort eine Anfrage hinschickt, erhält auch eine Antwort. Die Angreifer überfluteten viele der DNS-Server mit Anfragen, gaben sich jedoch als Cloudflare aus und dorthin schickten die Server dann wiederum ihre Antworten. Und die Folge waren verstopfte Leitungen in der Infrastruktur von Cloudflare. Dabei kommt dem Wort Infrastruktur eine besondere Bedeutung zu: Cloudflare mietet nämlich Bandbreite von großen Anbietern. Und deren Leitungen waren zum Teil verstopft.
Kloiber: Herr Schuler, es heißt ja immer wieder, das Internet sei in den vergangenen Tagen langsamer geworden. Stimmt das jetzt?
Schuler: Experten sind sich einig, dass solch eine Attacke das Internet in seiner Gesamtheit nicht in die Knie zwingen kann. Wie bereits erläutert: Mit einer Datenmenge von 300 Gigabit pro Sekunde wurde da angegriffen. Zum Vergleich: Der wichtigste deutsche Knotenpunkt, der DECIX in Frankfurt, erreicht bei Spitzenlast einen sekündlichen Datendurchsatz von 2,5 Terabit. Auf entsprechenden Monitoring-Seiten, die den Datenverkehr weltweit messen, konnte man allerdings sehen, dass der Datendurchsatz im westlichen Europa im fraglichen Zeitraum höher als üblich war. Aber West-Europa ist eben nicht der Rest der Welt.
Zum Themenportal "Risiko Internet"