Dis­tri­bu­ted Deni­al of Ser­vice (DDoS) nennt man es, wenn eine ein­zi­ge Inter­net­prä­senz von vie­len Com­pu­tern welt­weit gleich­zei­tig mit vie­len sinn­lo­sen Anfra­gen zuge­schüt­tet wird. Da der Ser­ver der die Inter­net­prä­senz tech­nisch zu Ver­fü­gung stellt nicht unter­schei­den kann, was eine ‚ech­te‘ Anfra­ge und was eine Angriffs­an­fra­ge ist, wird das Sys­tem durch zu vie­le Anfra­gen über­for­dert.
Man kann sich das so vor­stel­len als ob in einem Raum hun­der­te Men­schen gleich­zei­tig mit einem Reden wol­len. Man weiß dann auch nicht, wem man zuhö­ren soll und kann doch nur einer Per­son sei­ne Kon­zen­tra­ti­on schen­ken.
Gera­de für kom­mer­zi­el­le Web­sei­ten die über das Inter­net Geld ver­die­nen ist also ein stö­rungs­frei­er Betrieb wich­tig, eben­so wie für deren Kun­den, die die Diens­te ver­wen­den möch­ten.

Ent­spre­chend hat das Land­ge­richt Düs­sel­dorf gegen einen Mann eine Frei­heits­stra­fe von zwei Jah­ren und zehn Mona­ten ver­hängt, der sechs Wett­an­bie­ter mit sol­chen DDoS-Angrif­fen erpresst hat­te. Dabei hat­te er zunächst allen Anbie­tern „test­wei­se“ sei­ne Macht gezeigt, nach­dem er über rus­si­sche Anbie­ter für 65 US$ Kapa­zi­tä­ten für den DDoS-Angriff ange­mie­tet hat­te.

Das Gericht befand den Mann einer voll­ende­ten und ver­such­ten gewerbs­mä­ßi­gen Erpres­sung in Tat­ein­heit mit einer voll­ende­ten gewerbs­mä­ßi­gen Com­pu­ter­sa­bo­ta­ge für schul­dig. (AZ 3 KLs 1/11 vom 22. März 2011). Das Gericht stell­te dabei klar: “Durch die aus­ge­führ­ten DDos-Atta­cken hat er Daten über­mit­telt in der Absicht, den betrof­fe­nen Fir­men einen Nach­teil zuzu­fü­gen und dadurch deren Daten­ver­ar­bei­tung — deren Online-Wett­por­ta­le -, die für die betrof­fe­nen Fir­men von eini­gem Wert war, gestört”. (§ 303b Abs. 2 StGB)

Sicher­lich ein weg­wei­sen­des Urteil für die Bewer­tung und den Umgang mit sol­chen Angrif­fen.

Seit ca. 12.35 Uhr war Schlund­Tech und Inter­netX (bei­des Dienst­leis­ter für Resel­ler, die zwar unter ver­schie­de­nen Mar­ken am Markt auf­tre­ten, jedoch wohl die glei­che Tech­nik ver­wen­den dürf­ten) Opfer eines DDoS-Angriffs. DDoS steht für Dis­tri­bu­ted Deni­al of Ser­vices und bedeu­tet sinn­ge­mäß, dass ein Angriff von fern­ge­steu­er­ten Com­pu­tern die Name­ser­ver mit fal­schen Anfra­gen und Daten­pa­ke­ten so mas­siv unter Last setzt, bis die nor­ma­le Nut­zung auf­grund der Daten­flut den Dienst zum erlie­gen gebracht wird.
Doch schon mor­gens waren die ers­ten Aus­fall­erschei­nun­gen tem­po­rär und nur kurz­zei­tig zu ver­zeich­nen. Offen­sicht­lich wur­de der Angriff im Lau­fe des Tages hef­ti­ger.

Man kann es sich so ähn­lich wie mit zu vie­len Weih­nachts­pa­ke­ten vor­stel­len, wenn zudem gleich­zei­tig das Per­so­nal krank wird. Auch dann kom­men Pake­te zu spä­ter oder womög­lich gar nicht an. In die­sem Fall wur­den mas­sen­wei­se künst­li­che Pake­te im Inter­net mit dem Ziel den Name-Ser­ver-Dienst zu stö­ren ver­schickt. Der Name-Ser­ver-Dienst ist im Prin­zip das Tele­fon­buch des Inter­net. Es löst die Namen zu den ver­schie­de­nen Com­pu­tern, bzw. deren tech­ni­schen IP-Adres­sen auf. Obwohl die Com­pu­ter über die IP-Adres­sen erreich­bar gewe­sen wären, konn­ten die PCs die hin­ter den Domain­na­men lie­gen­den IP-Adres­sen auf­grund des DDoS nicht mehr abfra­gen, bzw. auf­lö­sen und somit die Com­pu­ter nicht errei­chen.

Schlund­Tech und Inter­netX gehö­ren bei­de zur bör­sen­no­tier­ten United Inter­net AG die immer­him im TecDax gelis­tet ist und wohl bekann­ter unter den Mar­ken 1&1, GMX und web.de ist.

Immer­hin knapp 18.000 Resel­ler haben bei den oben genann­ten Dienst­leis­tern knapp 2,3 Mio Domains gehos­tet. Selbst wenn nur nur etwas über die Hälf­te der dort gehos­te­ten Domains die .de-TLD betrof­fen haben soll­te,  dann wären also von den der­zeit ~12,3 Mil­lio­nen .de-Domains immer­hin noch knapp 10% von dem Angriff betrof­fen gewe­sen.

Wenn selbst das sehr gut aus­ge­stat­te­te Rechen­zen­trum und Per­so­nal der United Inter­net AG über drei Stun­den mit dem DDoS-Agriff kämp­fen muß­te, dann kann man sich vor­stel­len wie extrem stark die Atta­cke gewe­sen sein muß.

Auch uns traff der Angriff. Wir bedau­ern die Stö­rung und Unan­nehm­lich­kei­ten sehr und bit­ten alle eben­falls davon betrof­fe­nen Kun­den um Ver­ständ­nis. In weni­gen Stun­den soll­te wie­der alles wie gewohnt funk­tio­nie­ren, so funk­tio­niert seit 15.50 Uhr bei uns bereits wie­der alles wie es soll.

Ent­spre­chen­der der Men­ge der betrof­fe­nen Domains ist bei der Gra­fik des DeCIX (Deutsch­lands zen­tra­lem und wich­tigs­ten Inter­net­kno­ten in Frankfurt/Main) ein ana­log zu der Men­ge der betrof­fe­nen Domains gerin­ger Daten­ver­kehr in deren Sta­tis­ti­ken sicht­bar:

Quel­le: DeCIX.

Wie der Hei­se-News­ti­cker in einem Update berich­tet, hat Frau Petra Stu­ben­rauch von Inter­netX / Schlund­Tech inzwi­schen per eMail über den extrem aggres­si­ven Cha­rak­ter der DDoS-Atta­cke tech­ni­sche Hin­ter­grund­in­for­ma­tio­nen gelie­fert. Dem­nach hält der Angriff noch immer an und es steht dem­entspre­chend nur eine begrenz­te Band­brei­te zur Ver­fü­gung. Der Angriff liegt bei ca. 40.000 Hosts (PCs / Com­pu­ter) und nutzt eine Gesamt­band­brei­te an Daten von 20 Gbit pro Sekun­de.
Zum Ver­gleich: Der Durch­satz des DeCIX liegt in der Spit­ze der­zeit bei 500 Gbit/s an einem Tag — der Angriff beträgt also von der Daten­men­ge her in etwa 4% der Spit­ze des gesam­ten Inter­net­ver­kehrs über die­sen zen­tra­len Kno­ten in Deutsch­land. In moder­nen 16/1 MBit-DSL-Lei­tun­gen gespro­chen heißt dies das ca. 20.000 voll aus­ge­las­te­te DSL-Upstreams not­wen­dig wären um die­ses Volu­men zu errei­chen. Mit nor­ma­len älte­ren DSL‑, ISDN- und Ana­log­lei­tun­gen wür­den hier­für ent­spre­chend noch wesent­lich mehr Ver­bin­dun­gen benö­tigt. Man kann sicher­lich ohne Über­trei­bung von einem extre­men Aus­maß spre­chen.