Hilfe, das Internet bricht zusammen! Oder etwa doch nicht?

shutterstock_77898718

Man konnte es fast überall lesen – wir sind alle Zeugen eines gigantischen Angriffs auf das Internet. Der größte anzunehmende Unfall, das Internet am Rande des Zusammenbruchs. Doch wieso hat es keiner vorher bemerkt? Vielleicht weil es einfach nicht stimmt?

Anzeige

Stophaus versus Spamhaus

Worum geht es? Cyberbunker, ein niederländischer Hosting-Provider hat die Anti-Spam-Organisation Spamhaus mit einer beispiellosen DDoS-Attacke überzogen. Der Grund: Spamhaus versucht Spam im Internet einzudämmen und hat einen Kunden von Cyberbunker auf eine schwarze Liste gesetzt. Laut Sven Kamphuis, selbsternannter Sprecher der „Stophaus“-Gruppe, war das der Auslöser, dass „die halbe russische und chinesische Internet-Industrie“ bei der Attacke mitmacht.

Um sich gegen den Angriff zur Wehr zu setzen hat Spamhaus mit CloudFlare einen Spezialisten beauftragt, der sich mit DDoS-Attacken auskennt. Deren CEO Matthew Prince schrieb in einem Blogpost, dass der Angriff das Internet massiv gestört habe. Zumindest hätten User in ganz Europa mit langsamen Internetverbindungen zu kämpfen gehabt. Und die Server von CloudFare hätten mit Traffic in Höhe von bis zu 300 Gigabit pro Sekunde kämpfen müssen – eine der größten Attacken bislang.

Keinerlei Auswirkungen auf Internet-Knoten

Und das stimmt auch. Doch der größte Internet-Knoten der Welt, der DE-CIX in Frankfurt erreicht in der Spitze pro Tag 2,5 Terrabit pro Sekunde. Renesys, eine Firma die den Traffic des Internets überwacht, bestätigt gegenüber den Kollegen von Gizmodo: Alles Pustekuchen. Sicher, Spamhaus war Opfer einer ungewöhnlich starken Attacke. Doch das globale Internet war zu keinem Zeitpunkt davon beeinträchtigt. Auch der Internet Traffic Report zeigt keinerlei bedrohlichen Auswirkungen des Angriffs.

Wieso also die ganze Aufregung? Vermutlich ein sehr trivialer Grund: Sehr gute PR. CloudFare verdient sein Geld mit Internet-Sicherheit. Und angesichts der zahlreichen Hack-Attacken der letzten Wochen schien die Internet-Gemeinde für das Thema bereits gut sensibilisiert zu sein.

Mit dem Weltuntergangs-Szenario der holländischen Attacke und dem kleinen Hinweis, dass CloudFare für seine Kunden den Tag des jüngsten Gerichts gerne aufhält, wurde eine Geschichte zusammengezimmert, die in den Nachrichtenredaktionen der Welt ziemlich blind aufgenommen wurde. Angst verkauft sich schließlich immer gut.

Agenda-Setting at work

Aus dem Blickwinkel eines Kommunikationsforscher konnte man hier das Phänomen „Agenda-Setting“ bei der Arbeit sehen, nach dem Motto: Wenn die New York Times drüber schreibt, dann muss es ja stimmen! Und ruckzuck verbreitet sich das Gerücht bis in die letzte Lokalredaktion.

Es lässt sich also feststellen: Das Internet ist ganz schön robust, auch wenn Schäden an Unterwasserkabeln einzelne Regionen stark beeinträchtigen können. Doch auch wenn der gesamte afrikanische Kontinent vom Internet abgeschaltet wäre – Google, Amazon, Facebook & Co. wären nach wie vor erreichbar.

Skalenfreie Netzwerke sind äußerst robust

Das liegt daran, dass das Internet ein sogenanntes skalenfreies Netzwerk ist, sprich es gibt einige Hubs mit äußerst vielen Verbindungen und unheimlich viele Knotenpunkte mit nur ein paar Verbindungen. Werden Knotenpunkte zufällig ausgewählt und abgeschaltet, passiert so gut wie gar nichts – das Netz lebt weiter. Tatsächlich müssen bei einer randomisierten Attacke fast alle Knotenpunkte zerstört werden, damit das Netz zusammenbricht.

Erst bei einer gezielten Attacke auf die größten Hubs zeigt sich die Achillesferse des Internets. Doch selbst wenn der DE-CIX abgeschaltet würde, würde das Internet weiter bestehen, da nach genügend andere Hubs existieren, um das Netz am Laufen zu halten. Erst wenn ein Großteil der Hubs zerstört wird, bricht das Internet zusammen – doch das ist eigentlich kaum zu schaffen.

Die jüngste DDoS-Attacke von Cyberbunker war jedenfalls meilenweit davon entfernt, das Internet kollabieren zu lassen, auch wenn der CEO von CloudFlare einem das gerne glaubhaft machen möchte.

Bild: Attack (alexskopje) / Shutterstock.com

Abgelegt unter

Newsletter

7 Kommentare

  1. Sven

    Ein Artikel aus Sekundarquellen der vermuten lässt, dass auch du Robert selber auch nicht so wirklich weißt, worüber du schreibst. Aber Hauptsache auch hier ist etwas zu dem Thema zu finden, was? :-)

    Keine Frage – CF hat die Sache sicherlich genutzt um ihre Dienste zu bewerben (übrigens gibt es auch ein deutsches Cloudflare, myracloud.com). Verwerflich? Nein, schließlich haben sie ja nur in ihrem Blog darüber berichtet. Es sind vielmehr die Medien, welche sich darauf gestürzt haben und daraus machen, was es nicht ist.

    Ich stimme dir zu, dass die NYT einen sagen wir mal oberflächlichen Artikel gebracht hat (wahrscheinlich hat auch dieser Autor genau so viel Ahnung von der Materie wie du?) und alle anderen Medien haben auf dieser Grundlage dann über die Sache berichtet.

    Niemand, nicht einmal CloudFlare behauptet, dass auf Grund des Angriffs das Internet als solches in Gefahr gewesen ist. Fakt ist aber, und dies kann man bei den jeweiligen Netzbetreibern in Graphen nachschauen (ok, die sind teilweise nicht öffentlich; man sollte schon Kunde sein), dass einige Peering-Partner dicht waren.

    Dazu muss man wissen, wie CF arbeitet, klären wir aber vorher, was ein RZ-Betreiber macht: Ein RZ-Betreiber bietet Stellfläche an und sorgt für die Infrastruktur (Netzanbindung, Strom). Ein Kunde wie CF mietet sich nun eben Platz und stellt dort sein Equipment rein und bucht Bandbreite.
    Rein aus wirtschaftlichen Gründen wird CF dabei nur einen Durchschnitt buchen. Der RZ-Betreiber wiederum wird auch wieder nur einen Durchschnitt der gebuchten Bandbreite aller seiner Kunden bei seinem Peeringpartner einkaufen – nicht die theoretische maximal mögliche (sowie gebuchte) Bandbreite (http://en.wikipedia.org/wiki/Burstable_billing).

    Nun kommt es zu dem Angriff: Auf Grund der Funktionsweise von CF, bekommt CF den gesamten Traffic ab. Dank Anycast trifft der Traffic nicht *ein* Rechenzentrum von CF, sondern wird auf alle Rechenzentren weltweit verteilt.
    Dennoch – auf Grund der Stärke des Angriffs (und eben der zuvor dargelegten Sache mit dem Durchschnittstraffic) war das für manche Rechenzentren zuviel. Diese waren am Limit/dicht, weshalb andere Kunden in diesen Rechenzentren beeinträchtigt waren (du hast ja keine Möglichkeit zu sagen „OK… Kunde X hat jetzt sein Kontingent erreicht… wir nehmen für Kunden X nichts mehr an“ … also du sagst das schon, aber der Traffic von außen kommt dennoch erst einmal zu dir. Du lässt ihn zwar nicht rein, aber deine Leitung ist davon dicht :)).
    Und so ist das eben mit ein paar Rechenzentren passiert, wo neben CF eben auch Firmen wie Netflix Kunden gewesen sein sollen, die somit beeinträchtigt waren.

    Inwiefern die Dienste von Netflix nun tatsächlich beeinträchtigt waren oder ob denen nur eine Zone weggebrochen ist und sie dann einfach auf eine andere Zone umgeschaltet haben, wodurch der Dienst selber in seiner Verfügbarkeit nicht beeinträchtigt war, weiß ich nicht. Ich nehme aber stark an, dass das so war, weil von einem Netflix-Ausfall ist nichts zu hören.

    Übrigens: Auf diese Weise kannst du gezielt eine AWS Zone aus dem Netz pusten. Nicht umsonst empfiehlt Amazon ja, dass Kunden bitte in mind. 2 Zonen buchen – aber das kostet natürlich auch, weshalb dies nicht alle machen. Fällt dann eben eine Zone aus, sind einige Kunden die bei Amazon hosten offline (was durchaus mal vorkommt http://allthingsd.com/20121022/amazons-cloud-is-down-again-taking-heroku-and-github-with-it/).

    Wir halten also fest: Der Angriff war nicht ohne. Die Medien überspitzen auf Grund von Unwissenheit. Einzelne Rechenzentren und somit die dortigen Kunden waren durchaus unmittelbar betroffen.

    • Robert Vossen

      Was genau stört dich eigentlich an dem Artikel? Bisschen konkret müsstest du schon werden.

      By the way, der Blogpost von CloudFare trug die Überschrift “The DDOS That Almost Broke The Internet”. Das ist schon deutlich übertrieben gewesen.

      Ich habe auch in keiner Weise gesagt, dass das ein kleiner Angriff war, aber das Internet als solches hält dem Stand. Auch habe ich nirgendwo gelesen, dass irgendwelche Dienste und Webseiten tatsächlich down waren.

      Und auch wenn ich kein Informatikstudium abgeschlossen habe, so weiß ich schon was Tier1 und -2-Betreiber sind und grob wie ein Rechenzentrum funktioniert. Und allein aus Forschungsgründen beschäftige ich mich mit Netzwerktheorie, skalenfreien Netzwerken und Social Network Analysis.

      Dein Vorwurf, dass ich keine Ahnung hätte, über was ich schreibe, ist also ziemlich aus der Luft gegriffen und offen gestanden unverschämt. Seltsam finde ich auch, dass du kritisiert, dass ich Sekundärquellen verlinke. Und zu guter Letzt: Ich hatte kein Glück, sondern hätte seit gut einer Woche über die Attacke schreiben können – da schrieb CloudFare das erste Mal, dass Spamhaus down sei. Hab ich aber nicht, weil es nichts zu berichten gab. Und hätte nicht die halbe Presselandschaft den Weltuntergang an die Wand gemalt, hätte ich wahrscheinlich auch überhaupt nichts geschrieben.

      Im Ernst…Kommentare immer gerne, aber dann halte dich doch bitte mit Vorwürfen zurück, die schlichtweg nicht haltbar sind.

  2. Henric

    Für mich ist damit klar, dass DDoS-Attacken schlicht unter Strafe gestellt gehören. Bisher war ich immer der Meinung, dass es auch ein legales Protestmittel einer wütenden Gruppe von Individuen, z.B. bei der Verteidigung von Wikileaks, sein kann – aber industriell geführte Angriffe von russischen und chinesischen Spammern unter der Leitung eines eingeschnappten Holländers, da hört bei mir jedes Verständnis auf.

  3. Henry

    @Sven danke für die weiteren Infos.

    Dennoch hat Robert auch wenn wohl nicht ganz das Wissen wie du hast, immernoch besser als 90% der restlichen Medien recherchiert, die einfach Blind das meiste übernommen haben.^^

  4. Sven

    @ Henry: Vorsicht mit einem Lob. Hast du dir mal die Mühe gemacht und den zitierten Gizmodo-Artikel gelesen? Danach klingt Roberts Artikel für mich genau so wiedergekäut wie die ganzen Berichte die auf dem schwachen NYT-Artikel aufbauen.

    Mit etwas Gehässigkeit könnte man dann sagen: Roberts Glück war nur, dass er nicht so schnell wie die anderen Medien war. Sonst hätte sein Artikel womöglich genau so wie die anderen von gestern ausgesehen… Aber hoffen wir mal das Beste! ;)

  5. Sven

    @ Robert: Nun sind etwas mehr Details bekannt. London hat sich zu Wort gemeldet bzw. dortige Provider. ArsTechnica hat meine Kritik an deinem Artikel in einem Follow Up gut auf den Punkt gebracht: http://arstechnica.com/security/2013/04/can-a-ddos-break-the-internet-sure-just-not-all-of-it/

    Niemand hatte behauptet, dass “Internet” wird kaputt gehen. Das Internet ist ein Zusammenschluss mehrere Netze. Man müsste sich erst einmal darauf einigen wie viele Netze zu anderen Netzen keine Verbindung mehr haben dürften um zu sagen “Das Internet ist zerstört”.

    Bei meinem Vergleich mit dem Strom wollte ich nur deutlich machen: Internet-Dienste liegen letztendlich auf irgendeinem Server. Wenn dieser eine Server nun gerade warum auch immer nicht erreichbar ist, ist dieser eine Dienst für den Nutzer down. Freilich gibt es noch weitere Dienste, dass Internet selber tut also noch. Überspitzt: Wenn in Frankfurt DE-CIX ausfällt und damit der Großteil des deutschen Internets kaum noch erreichbar ist, kannst du natürlich noch Angebote in Afrika nutzen, sofern dein deutscher Provider seine TRANSIT Leitungen nicht über Frankfurt laufen lässt. Nichts gegen Afrika, aber ich denke dass die meisten deutschen User sich nicht für dortige Angebote interessieren. Das Internet selber funktioniert also noch, alle Netze, bis auf Deutschland, sind noch miteinander verbunden. Wir werden aber das Internet als kaputt bezeichnen :)

    Wie auch immer, Ars Technica bringt es sehr gut auf den Punkt. Inkl. Details zu den Problemen bei LINX in London… sehr toll finde ich das Ende wie sie den GM Artikel und damit eigentlich auch deine Argumentation auseinander nehmen. Punkt für Punkt.

    • Robert Vossen

      Ich weiß offen gestanden nicht, wie du “The DDoS That Almost Broke the Internet” übersetzt.

      Und ich sehe auch nicht, wie der Ars Technica-Artikel meiner Argumentation widerspricht. Denn wie die Kollegen schreiben ist das Internet eigentlich nicht zu zerstören und auch nicht global zu stören. Auch deine Argumentation wird von dem Artikel leider nicht unterstützt: “Überspitzt: Wenn in Frankfurt DE-CIX ausfällt und damit der Großteil des deutschen Internets kaum noch erreichbar ist, kannst du natürlich noch Angebote in Afrika nutzen, sofern dein deutscher Provider seine TRANSIT Leitungen nicht über Frankfurt laufen lässt”

      Wenn der DECIX ausfällt, ist selbstverständlich noch der Großteil des deutschen Internets erreichbar, denn er wird dann über andere deutschen Internet-Knoten geleitet http://de.wikipedia.org/wiki/Internet-Knoten#Tabelle_regionaler_Internet-Knoten_in_Deutschland
      Gleiches gilt für die Tier1/2-Provider.

      Dass sich das negativ auf die Geschwindigkeit auswirkt, ist glaube ich klar und bestreitet auch niemand. Aber es ist weder ein Knoten noch ein Tier1/2-Provider ausgefallen und Ars Technica kann leider auch nicht sagen, wie stark der LINX in London durch die Attacke beeinträchtigt wurde.

      Auch ist es nahezu unmöglich, das deutsche oder europäische Internet vom Rest der Welt zu trennen. Daher meine Argumentation: “Doch selbst wenn der DE-CIX abgeschaltet würde, würde das Internet weiter bestehen, da nach genügend andere Hubs existieren, um das Netz am Laufen zu halten. Erst wenn ein Großteil der Hubs zerstört wird, bricht das Internet zusammen – doch das ist eigentlich kaum zu schaffen.”

      Auch hier deckt Ars Technica meine Argumentation.

      Wir fassen zusammen: Die Attacke war heftig, das Internet stand aber weder am Rande des Zusammenbruchs wie CloudFare behauptet (Almost Broke = Fast zerstört) noch waren große Beeinträchtigungen zu spüren (auf die Frage von Gizmodo, warum es keine Berichte über Ausfälle von Netflix & Co. gebe schreibt Ars Technica “Who knows?”) – und wenn überhaupt dann nur regional.

Dein Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Bitte beachte unsere Kommentar-Richtlinien.