Waarom we niet geloven in ‘de aanval die het internet bijna brak’
Waar is de brand?
Dit hele verhaal draait om een uit de hand gelopen geschil tussen Spamhaus en de Nederlandse internetprovider Cyberbunker.
Eerstgenoemde is een hoog aangeschreven nonprofitorganisatie die zich bezig houdt met spambestrijding. Laatstgenoemde is een controversiële provider die zegt alles te willen hosten, zolang het maar niets met terrorisme of kinderporno te maken heeft.
De ruzie laaide op toen Spamhaus besloot om Cyberbunker op zijn zwarte lijst te plaatsen, omdat veel van zijn klanten verantwoordelijk zouden zijn voor het versturen van spam en andere ongure zaken. Als reactie op het blacklisten zou door zijn klanten een grootscheepse Ddos-aanval op Spamhaus zijn gestart, onder de naam Stophaus.
Wat is een Ddos-aanval?
Bij een Ddos-aanval, of Distributed Denial of Service aanval, wordt geprobeerd een webdomein te laten crashen door immense hoeveelheden waardeloze datapakketjes naar dat domein te sturen. Vaak worden daarbij botnets ingezet, duizenden besmette pc’s over de hele wereld, die op commando gezamenlijk de aanval openen. DdoS-aanvallen zijn al jarenlang een groeiend probleem en behoren tot een van de favoriete wapens van hackerscollectief Anonymous.
[related_article id=”161920″]
Wat is zo bijzonder aan deze Ddos-aanval?
In het geval van de aanval op Spamhaus is de hoeveelheid verstuurde data echter vele malen groter dan bij een ‘doorsnee’ Ddos-aanval het geval is. Op het hoogtepunt zou 300 gigabit per seconde op de servers van Spamhaus hebben geramd, terwijl dat volgens beveiliger Sophos normaal hooguit een paar gigabit per seconden is.
Om te voorkomen dat het offline werd gedwongen, riep Spamhaus in eerste instantie de hulp in van Cloudflare, een beveiligingsbedrijf dat zich specialiseert in de verdediging tegen Ddos-aanvallen. Het bedrijf begon het inkomende nepverkeer te verspreiden over 23 verschillende datacenters en dumpte alle informatieverzoeken waarvan het zeker wist dat ze vals waren.
Waarom zou de aanval gevaarlijk zijn voor het internet?
Toen de belagers zagen dat ze Spamhaus niet op de knieën kregen, besloten ze om zwaarder geschut in te zetten. Ze begonnen nu Cloudflare’s eigen netwerkleveranciers aan te vallen waarvan de beveiliger zijn bandbreedte koopt. Deze zogenoemde Tier 2-providers zitten op een hoger niveau in de hiërarchie van het internet. De overlast was echter zo groot, dat de data overvloeide naar de Tier 1-providers, feitelijk een handvol reuzennetwerken die er voor zorgen dat landen verbinding met elkaar kunnen maken.
De aanvallers maakten daarbij gebruik van een techniek die DNS-reflection heet, of DNS-weerkaatsing. Domain Name Servers (DNS) zijn verantwoordelijk voor het omzetten van IP-adressen naar domeinnamen. Als je dus www.zdnet.be intypt in je browser, zorgt een DNS-server er voor dat je wordt doorverbonden met het juiste IP-adres, waardoor deze servers een soort van telefooncentrales voor het internet zijn.
Een zwakte van dit systeem is dat DNS-servers niet de identiteit kunnen nagaan van degene die een IP-adres opvraagt. De aanvallers konden zich zo voordoen als het Spamhaus-domein en omdat de informatie die een DNS-server terugstuurt veel groter is dan de oorspronkelijke aanvraag werd de Ddos-aanval enorm versterkt.
Normaal gesproken lossen netwerkproviders dit misbruik op door het aantal DNS-verzoeken te beperken, maar omdat de aanvallers een groot aantal DNS-servers gebruikten, werkte deze tactiek niet meer.
Was de aanval groot genoeg om het internet te verlammen?
In een woord: nee. Cloudflare noemde de aanval op zijn blog "de DdoS die het internet bijna brak’ en zei tegen de New York Times dat de aanval het digitale equivalent is van een ‘atoombom.’
Maar de werkelijkheid wijst anders uit. Gizmodo nam onder meer contact op met een van de eerder genoemde Tier 1-providers en dit bedrijf zei dat het geen ongewone activiteit had waargenomen.
“Terwijl het de onder vuur liggende websites wellicht zwaar heeft getroffen, is het globale internetverkeer in zijn geheel niet beïnvloed door dit gelokaliseerde incident”, zei een woordvoerder.
Uit verschillende andere online bronnen blijkt bovendien dat de werking van het internet nooit in gevaar is geweest. Het Internet Traffic Report, dat het wereldwijde internetverkeer in de gaten houdt, laat geen ongebruikelijke activiteit zien. En Akamai, het bedrijf dat vaak als eerste ernstige netwerkstoringen opmerkt, laat zien dat alleen in West-Europa sprake is van overlast.
Was ‘de aanval die het internet bijna brak’ een leugen?
Het gaat wat ver om het hele verhaal als onzin af te doen. Het Spamhaus-incident zou wel degelijk ‘de grootste Ddos-aanval in de geschiedenis kunnen zijn”, zoals beveiliger Kaspersky Labs het noemde.
En volgens Webwereld hadden West-Europese Internet Exchanges korte tijd lang flinke last van het valse verkeer, zoals ook de realtime grafiek van Akamai laat zien.
Er is dus wel degelijk overlast geweest, maar zeker niet zo erg dat een doorsnee internetgebruiker er last van zou kunnen hebben. Vergeet niet dat Cloudflare een bedrijf is dat zich specialiseert in het afweren van Ddos-aanvallen. Het heeft er wel degelijk belang bij om deze aanval angstaanjagender te maken dan hij werkelijk is.
Er zal dus heel wat meer voor nodig zijn om het internet op zijn knieën te dwingen.
Wat zijn de consequenties voor de aanvallers?
Het Nederlandse Openbaar Ministerie is inmiddels een onderzoek gestart naar Cyberbunker en zijn schimmige klanten, zodat binnenkort wellicht duidelijk wordt wie er achter Stophuis zit. Ironisch genoeg is de Nederlandse provider sinds vanochtend onbereikbaar vanwege een vermeende Ddos-aanval.