Der "Internet-Gau" war keiner
Nachdem in den vergangenen Tagen Medienberichten zufolge wegen eines DDoS-Angriffs das gesamte Internet in Gefahr gewesen sein soll, zeigt sich inzwischen, dass die Infrastruktur kaum beeinträchtigt war.
Nachdem in den vergangenen Tagen einige großen Medien das gesamte Internet in Gefahr schrieben haben, zeigt sich inzwischen, dass die Internet-Infrastruktur kaum beeinträchtigt wurde. Für das betroffene Unternehmen Spamhaus war der DDoS-Angriff, um den es geht, allerdings massiv und ist offenbar noch nicht völlig ausgestanden.
Spamhaus war Mitte März einigen Spam-Versendern heftig auf die Füße getreten. Die Organisation hatte IP-Adressblöcke des als Spammer-freundlich bekannten niederländischen Hosters Cyberbunker auf seine Blacklist gesetzt, sodass Cyberbunker-Kunden plötzlich kaum noch Mails absetzen konnten. Am 19. März startete eine zunächst gemäßigte, dann stark anschwellende DDoS-Attacke auf die Webserver von Spamhaus. In den Spitzen fluteten nach Akamai-Angaben bis zu 300 GBit/s auf die Spamhaus-Server heran. Bereits einige Stunden nach dem Beginn der Attacke hatte Spamhaus das Security-Unternehmen Cloudflare mit der Abwehr beauftragt. In einem Blog-Beitrag beschreibt dessen Chef, Matthew Prince, den Verlauf und die angewandte Technik.
Die vergleicht er in seinem Text mit einer Nuklearwaffe, und Patrick Gilmore von Akamai meinte, dass der Angriff so abgelaufen sei, als habe jemand mit einem Maschinengewehr in die Menschenmenge geschossen, um eine Person zu töten. Daraus entstanden in den folgenden Tagen Schlagzeilen wie Global internet slows after 'biggest attack in history' bei der BBC oder Spam-Streit bremst das Internet bei Spiegel Online.
Deutlich differenzierter schreibt Ars Technica über das Problem: Erst wenn eines der Internet-Backbone-Netze (Tier-1) ausfallen würde, bestünde überhaupt ein Risiko. Die von Cloudflare genannten 300 GBit/s kamen aus einem Backbone-Netz Richtung Spamhaus und verursachten etwa am Londoner Internet-Knoten LINX auch tatsächlich einen Stau. Dort stieg der Traffic von durchschnittlich 1 TBit/s auf 1,5 TBit/s und brach dann auf die Hälfte ein. Bereits ein Stunde später hatte LINX aber Gegenmaßnahmen ergriffen und das Datendrehkreuz lief wieder wie gewohnt.
Der deutsche Internet-Knoten DE-CIX blieb von solchen Problemen insgesamt verschont, erklärte Arnold Nipper, Gründer und technischer Leiter des DE-CIX, gegenüber heise Netze. In den DE-CIX-Statistiken kann man den Angriff nicht ausmachen – laut Nipper aber am DE-CIX-Port von Cloudflare, das zu den Kunden gehört. Gegenüber Zeit Online erklärte er außerdem, dass er es für unmöglich halte, mit einem DDoS-Angriff das gesamte Internet zu beeinflussen.
Der IT-News-Dienst Venturebeat hat die Messungen des Internet Traffic Reports und von Akamai auf tatsächliche Auswirkungen der DDoS-Attacke hin untersucht. Der Angriff habe zwar ein erhebliches Ausmaß gehabt, doch die Effekte seien nur in Westeuropa zum Tragen gekommen, lautet das Fazit. Eine globale Beeinträchtigung der Infrastruktur habe man nicht beobachten können.
Ähnlich sieht man das auch bei Spamhaus selbst, das zwar ebenfalls von einen massiven Angriff spricht, dessen weltweite Bedeutung jedoch als sehr gering einschätzt: "With this attack, some collateral damage may have been seen locally, all depending on where you connect to the internet and when you look." Die Attacken auf Spamhaus gehen unterdessen weiter, wenn auch weniger wuchtig.
(rek)
