De DDoS-aanval op anti-spamorganisatie Spamhaus die de afgelopen dagen plaatsvond heeft nauwelijks invloed op het internet gehad, zoals sommige media deden geloven. De aanval was nauwelijks merkbaar, stelt Keynote, een bedrijf dat prestaties en vertragingen op internet meet. "De cijfers liegen niet, en dat is een feit", zegt Aaron Rudger van Keynote, die naar een grafiek wijst.
Daaruit blijkt dat Amerikaanse systemen de aanval niet opmerkten en ook Europese systemen nauwelijks iets van de aanvallen merkten, op een kleine, kortstondige piek na. Die vond plaats op 26 maart en zorgde ervoor dat de reactiesnelheid van websites tot 40% trager was dan normaal. "Het is mogelijk dat de Spamhaus-aanval hiermee te maken heeft, maar we weten het niet zeker", merkt Rudger op.
Op hetzelfde moment vond namelijk een belangrijke voetbalwedstrijd plaats die veel mensen via het web probeerden te bekijken en daarmee ook de vertraging zou hebben kunnen veroorzaakt. Het is in ieder geval duidelijk dat de aanvallen niet voor een dagenlange verstoring zorgden. "Dat zien we gewoon niet in onze data terug", aldus Rudger.
300Gbps
Techwebsite Gizmodo gaat er nog harder in en stelt dat het hele verhaal over een internetoorlog een 'leugen' is. Cloudflare, een bedrijf dat DDoS-bescherming verkoopt, zou de situatie hebben aangegrepen om de eigen diensten te promoten. Daarbij worden DDoS-aanvallen in een artikel in de New York Times zelfs met atoombommen vergeleken. In een latere blogposting wordt zelfs gesproken over 'De DDoS-aanval die bijna het internet sloopte."
In deze blogposting laat het bedrijf weten dat de aanval, die naar schatting een omvang van 300Gbps zou hebben, uiteindelijk tegen de Tier-1 providers werd gericht. Een Tier-1 provider is een IP-netwerk dat uitsluitend via peering met de rest van het Internet is gekoppeld. Tier-2 providers zijn weer gekoppeld aan een Tier-1 provider. Volgens Cloudflare zou de aanval voor 'verstopping' bij sommige Tier-1 providers hebben gezorgd.
Gizmodo nam de moeite om deze partijen te benaderen en kreeg te horen dat een aanval van 300Gbps op de aangevallen website impact heeft, maar dat het internet hier zelf niets van merkt. De Duitse Internet exchange zou regelmatig pieken van 2,5Tbps verwerken. De techwebsite doet de aanval dan ook af als een lokaal incident.
Update 12:12
John Bambenek van het Internet Storm Center bevestigt dat de aanval 300Gbps was en daarmee de grootste tot nu toe gemeten DDoS-aanval is. Hij benadrukt dat de aanval geen impact op het internet had en alleen door Spamhaus en Cloudflare werd gevoeld. Daarvoor hadden de aanvallers toegang nodig tot 3 tot 10Gb/s aan bandbreedte. Niet zomaar iets, maar ook niet onbereikbaar voor iemand met voldoende geld en motivatie, merkt Bambenek op.
Wel legde de aanval een aantal echte problemen bloot, namelijk dat er netwerken zijn die geen gespooft verkeer filteren en open DNS resolvers waarmee de aanvallers het aanvalsverkeer wisten te versterken. Daardoor kon 3 tot 10 Gb/s verkeer uiteindelijk 300 Gb/s worden. Deze tactiek wordt ook wel 'DNS amplification' genoemd.
"De belangrijkste les is dat DNS amplification al geruime tijd bekend is en deze DDoS-aanval geheel voorkomen had kunnen worden. Niet door CloudFlare, maar door de rest van ons die netwerken en DNS-servers beheren", besluit Bambenek.
Deze posting is gelocked. Reageren is niet meer mogelijk.