In einem aktuellen Artikel geht Arstechnica näher auf die Großattacke gegen den Anti-Spam-Hoster Spamhaus ein, und widmet sich dabei vor allem den technischen Hintergründen. Und hier zeigt sich, dass es vor allem schlampige Policys bei zahlreichen Providern sind, die Angriffe in solchen Ausmaßen ermöglichen.

Erklärung

Bei einer traditionellen Distributed Denial of Services (DDoS) Attacke werden sehr kleine Datenmengen von einer Vielzahl an Rechnern verschickt, um einen Server zu "überfordern". Für solche Attacken gibt es mittlerweile allerdings etablierte Gegenmittel, also verlegen sich AngreiferInnen zunehmend auf eine Variante eines solchen Angriffs, die wesentlich größere Datenmengen erzeugt.

DNS

Dabei bedient man sich der sogenannten Domain Name Server (DNS), die die Zuordnung zwischen Domain-Namen und IP-Adressen vornehmen. An diese wurden im konkreten Fall unzählige Anfragen geschickt, die mittels "IP Spoofing" vorgaben, von Spamhaus zu stammen. Der "Clou" dabei: Während eine solche DNS-Anfrage üblicherweise nur wenige Bytes lang ist, umfasst die Antwort mehre KByte - und die ging "dank" dem "Spoofing" dann an "Spamhaus". Dadurch ergibt sich ein Multiplikationsfaktor, der erst das riesige Angriffsvolumen von 300 GBit/s - von dem Spamhaus spricht - ermöglicht.

Fehler

Dass solcherlei Attacken überhaupt möglich sind, liegt vor allem daran, dass sich diverse große Provider - darunter etwa AT&T oder GoDaddy - nicht an seit Jahren bekannte "Best Practices" halten, und ihre DNS Server offen zugänglich machen, anstatt sie auf die eigenen KundInnen zu beschränken - wodurch die Umsetzbarkeit entsprechender Angriffe erheblich behindert würde.

Filter

Als Abwehrmaßnahme wurden in Folge sämtliche Anfragen an Spamhaus mittels einer Routing-Technik namens Anycast auf 23 Rechenzentren des Unternehmens CloudFlare aufgeteilt, und dort untersucht bevor sie an Spamhaus weitergeleitet wurden. Alle Pakete, die eine entsprechende DNS-Antwort enthalten, werden bei diesem Prozess gelöscht.

Kritik

Unterdessen melden diverse Seiten Zweifel an der Darstellung von Spamhaus und CloudFlare an, dass die Attacke das Internet als Ganzes beeinträchtigt habe. So streicht etwa Gizmodo in einem Artikel heraus, dass sich diese Behauptung nur schwer mit Fakten untermauern lasse. Auf Nachfrage heißt es von großen "Tier 1"-Providern, dass man keinerlei Beeinträchtigung feststellen konnte. Auch bei Amazons Cloud-Netzwerk - das rund um die Welt operiert - seien keine Probleme zu sehen gewesen.

Vorwurf

In diesem Zusammenhang wirft Gizmodo vor allem CloudFlare Panikmache vor, deren Motivation man vor allem im Marketing sieht: Immerhin lebe das Unternehmen von der Abwehr solcher Attacken und den entsprechenden eigenen Services.

Relationen

Zumindest zum Teil wird diese Position vom Internet-Monitoring-Unternehmen Renesys unterstützt. Dieses verweist darauf, dass 300 GBit/s zwar eine Menge an Daten sind, aber zum Beispiel der deutsche Internetknoten DECIX in Frankfurt zu Spitzenzeiten 2,5 TBit/s verkraftet. Während sicherlich lokale Server (Spamhaus sitzt in den Niederlanden, Anm.) von der Attacke betroffen waren, konnte man keine Auswirkungen auf das globale Internet feststellen. (red, derStandard.at, 28.3.2013)