RIPE NCC Ziel einer großen DDOS-Attacke
Durch massenhaft gesendete Pings waren die RIPE Homepage, die RIPE Whois-Datenbank, der DNS-Server und der FTP-Server heute für mehr als zwei Stunden nicht erreichbar.
Das Netz von RIPE NCC in Amsterdam war heute Nachmittag Ziel einer großangelegten Distributed Denial of Service Attacke. Wie Carsten Schiefner, Sprecher bei RIPE NCC gegenüber heise online bestätigte, ist man noch mit der Analyse des Angriffs beschäftigt. Die verschiedenen Dienste wie der Whois-Server sind inzwischen allerdings wieder erreichbar.
Um 14 Uhr schrillten die Alarmglocken bei der europäischen IP-Nummern-Registry. "Bei dem Angriff handelte es sich um eine ICMP-Echo-Attacke", erklärte Andrei Robachevsky, CTO bei RIPE NCC, in einer ersten schriftlichen Stellungnahme. Durch die dabei massenhaft gesendeten Pings waren die RIPE-Homepage, die RIPE-Whois-Datenbank, der DNS-Server und der FTP-Server für mehr als zwei Stunden nicht erreichbar. Noch um kurz nach 16 Uhr wandte sich das RIPE mit Bitten an seine Peering-Partner, die entsprechenden Pakete auszufiltern. Auf diese Weise, so Robachevsky, konnte der Angriff entschärft werden. Gegen 16.30 Uhr, so die Auskunft, sein das RIPE-Netz erst einmal wieder normal erreichbar gewesen.
Über den oder die Angreifer und ihre Ziele kann man beim RIPE zum jetzigen Zeitpunkt noch keine Angaben machen. Selbstverständlich habe man sich bereits während des Angriffs auch sofort um die Rückverfolgung der Pakete gekümmert, so Schiefner. Eine genaue Analyse werde aber noch dauern. Beim SQL-Slammer hatte das RIPE NCC mit dem von ihm entwickelten Test Traffic Measurement im Nachhinein zeigen können, dass die Beeinträchtigung vor allem die "Ränder" des Netzes und weniger die großen internationalen Backbone-Strecken betrafen.
Weitergehende Befürchtungen, dass der heutige Angriff auf das RIPE-Netz dem vom RIPE NCC betriebenen K-Root-Server galt oder dafür lediglich als Vorbereitung diente, sei eher unwahrscheinlich, so Schiefner. Zum einen steht der K-Root Server in London und nicht in Amsterdam. Außerdem wäre in diesem Fall die Art des Angriffs, "als ob man mit Kanonen auf Spatzen schießt". Die Ping-Flut lässt sich relativ einfach ausfiltern. Root-Servern würde eher eine Flut gefälschter DNS-Anfragen zu schaffen machen. Auch die Überlegung, dass ein Angreifer die eben eingeführte DNS-Server Software Name Server Daemon habe testen wollen, scheide durch die Art des Angriffs aus. Schiefner bezeichnete sie als Spekulation.
Erst seit knapp einer Woche läuft der K-Server mit NSD anstelle des bekannten BIND. Man habe mit NSD für Diversität und damit eine geringere Angreifbarkeit des DNS sorgen wollen, so Schiefner. Außerdem soll NSD durch ein eigens auf den autoritativen Name-Serverbetrieb zugeschnittenes Design für mehr Performanz sorgen. Für mehr Sicherheit des Root-Servers soll künftig auch das Anycast-Modell für den K-Server sorgen. (Monika Ermert) / (anw)
