Special Report: Der Spamhaus/CloudFlare/Stophaus Denial of Service Angriff

8. April 2013

Über den Denial-of-Service Angriff auf Spamhaus war in den Medien in den letzten Wochen viel zu lesen. Auch für CERT.at als nationales CERT von Österreich war das eine interessante Zeit.

Wir wollen in dem jetzt vorliegenden Bericht die Fakten zusammenfassen und vor allem darstellen, welche Lehren Österreich aus diesem Vorfall ziehen sollte.

Der österreichische Kaiser soll, nachdem er von den Vorgängen im Paris der französischen Revolution erfahren hat, angeordnet haben in der Wiener Innenstadt die Kopfsteinpflaster durch größere Steinplatten zu ersetzen. Er wollte nicht, dass das Material für Angriffe sprichwörtlich auf Strasse liegt. Die gleiche Situation haben wir auch hier: Aktuell haben uns die Angriffe nicht getroffen, aber wir haben gelernt, wie viele Plastersteine (hier jetzt "offene rekursive Nameserver") in unseren Netzen herumliegen.

Wir sollten diese dringend wegräumen.

Zusammenfassung

In der zweiten Märzhälfte 2013 kam es zu einer Serie von heftigen Denial-of-Service Angriffen auf "Spamhaus", einem Anbieter von Anti-Spam Blocklisten. In manchen Medien wurde dieser als Gefahr für die Stabilität des Internets beschrieben.

Das war weit übertrieben: weder war die Angriffsmethode neu, noch war die Angriffsstärke um Größenordnungen höher als das bisher gesehene. Die Kollateralschäden für unbeteiligte Dritte blieben auf wenige Punkte im Netz beschränkt: die überwiegende Mehrheit der Internet-Nutzer blieb von dem Ereignis völlig unberührt.

Sowohl die Angreifer als auch die Verteidiger haben während des Angriffs ihre Strategien flexibel an die Reaktion des Gegners angepasst, letztlich war aber die gut eingespielte Kooperation der Betriebsführungsteams der Netzbetreiber erfolgreich und diese konnten die Attacken gemeinsam abwehren. CERT.at als das österreichische nationale CERT ist in diese globale Zusammenarbeit eingebunden.

Dennoch hat der Angriff einige Probleme aufgedeckt, die behoben werden sollten:

• Fehler in der Absicherung der Internet-Basisinfrastruktur (Filter in Routing-Protokollen, Control-Plane Protection, …)
• Mangelnder Schutz gegen das Einspeisen von gefälschten IP-Paketen
• Fehlkonfiguration bei Nameservern, die sich dadurch als Angriffs-Verstärker ausnutzen lassen

---

Informationsquelle(n):

Report
http://www.cert.at/static/downloads/specials/20130408-cert.at-report-ddos.pdf