Het ganse internet werd vertraagd

Sommigen trokken de conclusie dat de spectaculaire DDoS-aanval het internet wereldwijd vertraagde, gevoed door de hyperbolen van CloudFlare zelf. Dat kon toch nog niet anders met de grootste DDoS-aanval ooit? Als reactie riepen anderen vervolgens dat er eigenlijk helemaal niks aan de hand was, het was slechts een lokale Nederlandse aangelegenheid.

De werkelijkheid ligt uiteraard in het midden. Dat de DDoS-aanval op Spamhaus een van de grootste ooit is staat buiten kijf. En de impact was fors, maar zeker niet wereldwijd. Want behalve dat Spamhaus zelf plat lag, escaleerde de opstopping via Cloudflare (en daarmee veel van zijn klanten, zie verderop) tot en met de grote Internet Exchanges van Europa. Hier was de impact uiteenlopend.

De aanvallers richtten zich namelijk op de enige overgebleven flessenhalzen van hun doelwit: de IP-adressen waarmee CloudFlare is aangesloten op verschillende Internet Exchanges. Dit zorgde in elk geval bij de London IX (LINX) voor een enorme dip in het totale verkeer. Bij AMS-IX hebben ze de aanval opgemerkt, maar waren er geen noemenswaardige problemen, vertelt de woordvoerster.

Een schot hagel wordt nooit een clusterbom

Nadat het stof was neergedaald klonk er ook scepsis over hoe groot de aanval werkelijk was. De meningen zijn daarover verdeeld, maar diverse netwerkpartijen en monitors houden het op 300 Gbps. Onmogelijk dat een clubje boze spammers dat voor elkaar krijgt, zeggen anderen. Maar er zijn talloze voorbeelden dat door slim gebruik van kwetsbaarheden een digitaal schot hagel het effect kan hebben van een clusterbom. Zo bleek vorig bijvoorbeeld dat bijna elke site is plat te leggen door het versturen van een paar speciaal gevormd datapakketjes. Poef.

Dat geldt ook voor de methode die Stophaus gebruikte: DNS amplificatie of reflectie. Die techniek is al ruim tien jaar bekend en vereist weinig vuurkracht voor maximale schade. Het maakt misbruik van twee kwetsbaarheden in het DNS-systeem. Ten eerste kun je eenvoudig de afzender van een DNS-query spoofen, waardoor het antwoord wat de DNS-servers terugsturen in werkelijkheid naar het doelwit gaat. Dit is de reflectie. Ten tweede de amplificatie: queries kunnen piepklein zijn, zo'n 64 bytes, terwijl het gekaatste antwoord richting doelwit tot wel 4000 bytes kan zijn. Een amplificatiefactor van maar liefst 60. Elke kogel wordt zo een bom.

Bij Cloudflare zit je veilig

CloudFlare biedt sites en contentdiensten caching en DNS-servers aan op tientallen verschillende plekken in de wereld. Met zo'n gedecentraliseerd netwerk is de content en data dichter bij de eindgebruiker, en het scheelt ook veel verkeer over de backbone. Bovendien levert het bescherming op tegen DDoS-aanvallen, omdat er geen flessenhals meer is die aanvallers kunnen verstoppen.

CloudFlare werd in 2009 opgericht en is in korte tijd heel groot geworden. Het kwam in 2011 opspraak toen het de site van LulzSec ging hosten, maar met publiciteit daaromheen spon CloudFlare-oprichter Matthew Prince uiteindelijk veel garen. Maar hierdoor kreeg CloudFlare ook veel minder bonafide klanten.

Met als gevolg dat IP-adressen regelmatig op de zwarte lijst kwamen van, u raadt het al, Spamhaus. En dat blijft niet zonder gevolgen voor de nette klanten, zo bleek al snel. Want vorig jaar deed de spambestrijder bijna alle IP-adressen van CloudFlare in de ban. Het gevolg was dat de dienstverlening en mail van veel Cloudflare-klanten het niet deed.

Afgelopen week waren de rollen omgekeerd en moest Spamhaus, al dagen plat onder zwaar DDoS-vuur, met hangende pootjes bij CloudFlare aankloppen voor bescherming. Die leek in eerste instantie de aanval af te slaan, maar zakte uiteindelijk toch nog door de hoeven. En daarmee waren ook talloze andere klanten van CloudFlare de klos. Beide risico's voor Cloudflare-klanten voeren terug naar hetzelfde probleem. Als één klant wordt aangepakt, kunnen alle klanten er last van hebben. Want die handige paraplu vormt een enorm doelwit.

Spamhaus heeft geen macht

De aanleiding van het conflict ligt in de macht en het omstreden escalatiebeleid van Spamhaus. Werk je als hoster niet mee aan de eisen van Spamhaus, dan komt je complete IP-range op de zwarte lijst. Hier wordt tegenin gebracht dat Spamhaus zelf alleen maar die lijsten maakt, maar zelf niemand kan blokkeren.

Dat klopt, maar gaat voorbij aan het feit dat Spamhaus door de jaren heen wel macht heeft opgebouwd omdat steeds meer isp's de lijst automatisch gebruiken. Veelal in combinatie met andere zwarte lijsten voor DNS, maar Spamhaus is behoorlijk dominant geworden. Dat is hun verdienste, maar de spambestrijder gebruikt (of misbruikt) deze sterke positie om hosters tot medewerking te dwingen. With great power comes great responsibility, en er zijn genoeg voorbeelden waaruit blijkt dat Spamhaus zich regelmatig als een cowboy gedraagt.

Bovendien, en dat ontgaat veel buitenstaanders, gaat het allang niet meer om spam alleen. Spamhaus heeft zwarte lijsten voor sites met malware, een domeinblokkadelijst en een lijst met IP-blokken die helemaal van het internet moeten worden verbannen, de Don't Route Or Peer (DROP)-lijst. En als klap op de vuurpijl publiceert Spamhaus een soort 'most wanted'-lijst, de ROKSO, met namen en details van de meest notoire spammers en cybercriminelen. Ten minste, volgens Spamhaus.

De aanval kwam uit de 'Cyberbunker' in Goes

De New York Times maakte als eerste gewag van de betrokkenheid van de Cyberbunker bij de DDoS-aanval. En dan niet zozeer de provider van die naam, maar vooral haar illustere onderkomen, een oude NAVO-bunker bij Goes, vol met bizarre geschiedenis. Op zich logisch, aangezien Sven Kamphuis, betrokken bij de Stophaus-groep, zichzelf al tien jaar 'Minister van de Republiek Cyberbunker' noemt.

Kamphuis zelf benadrukt dat de providers Cyberbunker en CB3ROB niet bij de aanval zijn betrokken, maar geeft geen duidelijkheid over de status van de bunker. Wat blijkt? Die staat al minstens een jaar leeg.

Tenminste, de bunker wás leeg, en is begin 2012 zelfs compleet gestript. Dit werd gedaan door de nieuwe huurders, Bunker Infra. Dat bevestigt Joost Verboom, eigenaar van Bunker Infra, tegenover Webwereld. Het complex krijgt een nieuw leven, nu echt als serieus datacenter, aldus Verboom. Het afgelopen jaar is het compleet verbouwd en opgeknapt. "En het eerste wat de deden was de naam Cyberbunker van de buitenmuur verwijderen." Momenteel wordt er de laatste hand aan gelegd, inclusief een glasvezelverbinding, want die is er nooit geweest.