Sicherheit
DDoS-Angriff auf Spamhaus
von
Thorsten
Eggeling - 29.03.2013
Gegen Spamhaus, ein Projekt, das sich dem Kampf gegen Spam verschrieben hat, gab es letzte Woche einen DDoS-Angriff. Ein Experte bezeichnet die Angriffsmethode als „so gefährlich wie Nuklearwaffen“.
Das Schweizer Spamhaus ist bereits seit dem 18. März Opfer von DDoS-Angriffen, bei denen die Server durch sinnlose Massenanfragen zum Erliegen kommen. Zeitweilig fielen durch die Netzüberlastung zahlreiche Internetdienste wie etwa Netflix aus, auch soll das Internet phasenweise langsamer geworden sein.
Spiegel.de berichtet, am Mittwoch per Chat Kontakt zu einem Sprecher der Angreifer-Gruppe aufgenommen zu haben, die sich selbst „Stophaus“ nennt. Bei dem Sprecher handelt es sich um Sven Olaf Kamphuis, der auch hinter dem niederländischen Provider Cyberbunker steckt. Cyberbunker war vor kurzem von Spamhaus auf die schwarze Liste gesetzt worden. Schätzungsweise verwenden etwa 80 Prozent der E-Mail-Provider die Spamhaus-Liste. Wer darauf steht, dessen E-Mails erreichen also den Empfänger mit hoher Wahrscheinlichkeit nicht. Cyberbunker selbst wirbt damit, jeglichen Content zu hosten „außer kinderpornografischen und terroristischen Inhalt“.
Gegenüber Spiegel Online erklärt Kamphuis den Angriff so: Ein Cyberbunker-Kunde war erbost, weil seine E-Mails durch die Spamhaus-Blockade ihr Ziel nicht mehr erreichten. Daraufhin organisierte er weitere Betroffene, die sich durch Spamhaus geschädigt fühlten. Zusammen starteten diese dann den DDoS-Angriff. Dafür nutzen Sie offene DNS-Server, die jede Anfrage ungeprüft beantworten. Bei der „DNS Reflection Attack“ genannten Methode, senden die Angreifer kurze Anfragen an die DNS-Server, die diese mit relativ großen Datenpakten beantworteten. Als Empfänger der Daten hatten sie per IP-Spoofing Spamhaus eingetragen. Dessen Server konnten wegen des Ansturms dann keine Anfragen mehr beantworten.
„Stophaus“ habe schließlich am vergangenen Dienstagmorgen die Eingriffe eingestellt, berichtet Kamphuis. Weitere Attacken in dieser Form seien zumindest von dieser Gruppe nicht mehr zu erwarten. Kamphuis kritisiert, dass Spamhaus nicht nur einzelne IP-Adressen, sondern ganze Adressbereiche blockiert. Spamhaus sei eine Gefahr für das freie Internet, eine Organisation, die ihre Macht missbraucht, führt er weiter aus.
Kurz nach dem Angriff hat Spamhaus die US-Firma Cloudflare mit der Abwehr beauftragt. Die Datenflut wurder per Anycast an zahlreiche andere Server weitergeleitet und damit entschärft. Cloudflare beschreibt die Maßnahmen in einem Blog-Eintrag. Cloudflare erklärt, dass derartige Angriffe zukünftig nur durch das Schließen offener DNS-Server verhindert werden können.
