Technik
Spamhouse sollte bestraft werden, sagen die Angreifer.
Spamhouse sollte bestraft werden, sagen die Angreifer.(Foto: REUTERS)

Internet-Apokalypse oder Werbeaktion?: So lief der Spam-Krieg wirklich ab

Von Roland Peters

"Der Angriff, der beinahe das Internet zerstörte", sagen die einen. "Eine Lüge", so die anderen. Was hat es mit dem Duell zwischen Spammern und Webhoster auf sich, über das die Technikwelt diskutiert? Die Eckdaten haben eine eindeutige Tendenz - die "Atombomben" waren eher ein Scharmützel.

Neun Tage lang soll im Internet eine Datenschlacht nie gesehenen Ausmaßes getobt haben. So groß, dass neben anderen Seiten auch Video-on-Demand-Anbieter wie Netflix zeitweise nicht erreichbar gewesen sein sollen; dass es die größte Attacke aller Zeiten in der Geschichte des globalen Netzes war. Doch nicht alle sind von dieser These überzeugt. Die Technikseite Gizmodo etwa ist mehr als skeptisch. "Der apokalyptische Internetkrieg ist eine Lüge", titelt das Magazin. Ist er das?

Es beginnt mit der Firma Spamhaus, die schwarze Listen von IP-Adressen erstellt, die wegen des Versendens von Spam besonders auffällig sind. Als Spamhaus den niederländischen Provider "Cyberbunker" auf die Liste setzt, geht es los. Ein Großteil der Spam-Mails werden plötzlich blockiert und damit der Aktionsradius vieler Kunden.

Kurze Zeit später, am 19. März, werden die Webserver von Spamhaus per "Distributed Denial of Service" (DDoS) angegriffen. Bei einem DDoS-Angriff wird ein Server mit Unmengen von Anfragen überschwemmt, die er nicht alle beantworten kann. Die attackierte Website ist dann nicht mehr zu erreichen. Im aktuellen Fall holt sich Spamhaus Hilfe von Cloudflare: Das US-Unternehmen leitet Anfragen so um, dass die Last über verschiedene Knotenpunkte verteilt wird.

30.000 Server missbraucht

Cloudflare und Spamhouse veröffentlichen nach und nach Informationen über den Angriff. Die New York Times meldet, der Kampf "verstopft das Internet". "Millionen normale Internetnutzer" spürten Verzögerungen oder könnten bestimmte Seiten gar nicht erreichen. Einen besseren Verstärker für Nachrichten gibt es kaum – fast alle Medien beobachten, was aus dem Traditionshaus kommt, es ist wie ein Qualitätssiegel. Cloudflare-Chef Matthew Prince behauptet in dem Bericht reißerisch, die Angriffe seien "im Grunde wie Atombomben". Bezogen auf Deutschland widerspricht Timo Steffens vom Lagezentrum des Bundesamtes für Sicherheit in der Informationstechnik (BSI). "Der Angriffsverkehr war zwar sichtbar, aber nicht kritisch", sagte er auf Anfrage von n-tv.de.

Die Statistik des vergangenen Monats beim deutschen Hauptknotenpunkt DE-CIX - ohne ungewöhnliche Ausschläge.
Die Statistik des vergangenen Monats beim deutschen Hauptknotenpunkt DE-CIX - ohne ungewöhnliche Ausschläge.(Foto: de-cix.net)

Die Angreifer nutzen demnach nicht nur Botnetze, also fremde, gekaperte Rechner als Versender für ihre DDoS-Anfragen, sondern auch "Domain Name Service"-Server (DNS). In DNS-Verzeichnissen wird gelistet, welche Webadresse – etwa n-tv.de – mit welcher maschinellen IP-Adresse, also welchem Server, verknüpft ist.

Die Angreifer tarnten sich mit der IP-Adresse der Spamhouse-Website und verschickten Anfragen an öffentliche DNS-Server – die ihre Antwort wiederum dorthin zurücksendeten. Auf diese Weise sollen mindestens 30.000 Server für die DDoS-Angriffe missbraucht worden sein. Ergebnis war zusätzlicher Traffic von 75 Gigabit pro Sekunde, zu Spitzenzeiten insgesamt bis zu 300 Gigabit pro Sekunde.

Begrenzte Unterstützung für die These von Cloudflare kommt von der Gegenseite. "Wir sind uns bewusst, dass dies einer der größten DDoS-Angriffe ist, die die Welt je öffentlich gesehen hat", brüstet sich Olaf Kamphuis, der sich selbst als Sprecher der angreifenden Spammer bezeichnet. Rund 80 Prozent aller Antivirenprogramme und Anti-Spamfilter verlassen sich unter anderem auf die Aufstellung von Spamhouse, gibt Cloudflare an. Der Dienstleister habe seinen Einfluss ausgenutzt und werde deshalb bestraft, so Kamphuis.

Rechnerisch kein Problem

Gizmodo fragte nach und erhielt von mehreren Quellen an den Hauptadern des Internets eindeutige Antworten: Es gebe keinen Beleg für eine Beeinträchtigung des globalen Datenverkehrs. Alles sei normal. In keiner Statistik tauchten ungewöhnliche Ausschläge auf. Netflix etwa funktionierte wie gewohnt, auch der Cloudhosting-Service von Amazon.

Die angegebenen 300 Gigabit pro Sekunde sind im Internet zudem rein rechnerisch kaum ein Problem. So kommt allein der deutsche Hauptknotenpunkt DE-CIX in Frankfurt mit bis zu 2,5 Terabit pro Sekunde zeitweise auf das Achtfache dieses Datendurchsatzes. Mehr als DE-CIX war dem BSI zufolge der Londoner Knotenpunkt LINX betroffen. Insgesamt gesehen war "der DDoS-Angriff, der beinahe das Internet zerstörte", wie Cloudflare behauptet, jedoch eher ein regionales Problem. Und so sind die Skeptiker offenbar näher an der Wahrheit.

Von all dem Wirbel um den angeblichen Spam-Krieg apokalyptischen Ausmaßes bleibt ein Unternehmen, das Geld damit verdient, dass Website-Betreiber Angst vor instabiler Infrastruktur des Netzes haben. Und eines, das vom schlechten Ruf der Spammer lebt. Es war ein Katz-und-Maus-Spiel. Keine Datenschlacht, die das Internet bedroht.

Quelle: n-tv.de

Video-Empfehlungen
Empfehlungen