Seit ca. 12.35 Uhr war Schlund­Tech und Inter­netX (bei­des Dienst­leis­ter für Resel­ler, die zwar unter ver­schie­de­nen Mar­ken am Markt auf­tre­ten, jedoch wohl die glei­che Tech­nik ver­wen­den dürf­ten) Opfer eines DDoS-Angriffs. DDoS steht für Dis­tri­bu­ted Deni­al of Ser­vices und bedeu­tet sinn­ge­mäß, dass ein Angriff von fern­ge­steu­er­ten Com­pu­tern die Name­ser­ver mit fal­schen Anfra­gen und Daten­pa­ke­ten so mas­siv unter Last setzt, bis die nor­ma­le Nut­zung auf­grund der Daten­flut den Dienst zum erlie­gen gebracht wird.
Doch schon mor­gens waren die ers­ten Aus­fall­erschei­nun­gen tem­po­rär und nur kurz­zei­tig zu ver­zeich­nen. Offen­sicht­lich wur­de der Angriff im Lau­fe des Tages hef­ti­ger.

Man kann es sich so ähn­lich wie mit zu vie­len Weih­nachts­pa­ke­ten vor­stel­len, wenn zudem gleich­zei­tig das Per­so­nal krank wird. Auch dann kom­men Pake­te zu spä­ter oder womög­lich gar nicht an. In die­sem Fall wur­den mas­sen­wei­se künst­li­che Pake­te im Inter­net mit dem Ziel den Name-Ser­ver-Dienst zu stö­ren ver­schickt. Der Name-Ser­ver-Dienst ist im Prin­zip das Tele­fon­buch des Inter­net. Es löst die Namen zu den ver­schie­de­nen Com­pu­tern, bzw. deren tech­ni­schen IP-Adres­sen auf. Obwohl die Com­pu­ter über die IP-Adres­sen erreich­bar gewe­sen wären, konn­ten die PCs die hin­ter den Domain­na­men lie­gen­den IP-Adres­sen auf­grund des DDoS nicht mehr abfra­gen, bzw. auf­lö­sen und somit die Com­pu­ter nicht errei­chen.

Schlund­Tech und Inter­netX gehö­ren bei­de zur bör­sen­no­tier­ten United Inter­net AG die immer­him im TecDax gelis­tet ist und wohl bekann­ter unter den Mar­ken 1&1, GMX und web.de ist.

Immer­hin knapp 18.000 Resel­ler haben bei den oben genann­ten Dienst­leis­tern knapp 2,3 Mio Domains gehos­tet. Selbst wenn nur nur etwas über die Hälf­te der dort gehos­te­ten Domains die .de-TLD betrof­fen haben soll­te,  dann wären also von den der­zeit ~12,3 Mil­lio­nen .de-Domains immer­hin noch knapp 10% von dem Angriff betrof­fen gewe­sen.

Wenn selbst das sehr gut aus­ge­stat­te­te Rechen­zen­trum und Per­so­nal der United Inter­net AG über drei Stun­den mit dem DDoS-Agriff kämp­fen muß­te, dann kann man sich vor­stel­len wie extrem stark die Atta­cke gewe­sen sein muß.

Auch uns traff der Angriff. Wir bedau­ern die Stö­rung und Unan­nehm­lich­kei­ten sehr und bit­ten alle eben­falls davon betrof­fe­nen Kun­den um Ver­ständ­nis. In weni­gen Stun­den soll­te wie­der alles wie gewohnt funk­tio­nie­ren, so funk­tio­niert seit 15.50 Uhr bei uns bereits wie­der alles wie es soll.

Ent­spre­chen­der der Men­ge der betrof­fe­nen Domains ist bei der Gra­fik des DeCIX (Deutsch­lands zen­tra­lem und wich­tigs­ten Inter­net­kno­ten in Frankfurt/Main) ein ana­log zu der Men­ge der betrof­fe­nen Domains gerin­ger Daten­ver­kehr in deren Sta­tis­ti­ken sicht­bar:

Quel­le: DeCIX.

Wie der Hei­se-News­ti­cker in einem Update berich­tet, hat Frau Petra Stu­ben­rauch von Inter­netX / Schlund­Tech inzwi­schen per eMail über den extrem aggres­si­ven Cha­rak­ter der DDoS-Atta­cke tech­ni­sche Hin­ter­grund­in­for­ma­tio­nen gelie­fert. Dem­nach hält der Angriff noch immer an und es steht dem­entspre­chend nur eine begrenz­te Band­brei­te zur Ver­fü­gung. Der Angriff liegt bei ca. 40.000 Hosts (PCs / Com­pu­ter) und nutzt eine Gesamt­band­brei­te an Daten von 20 Gbit pro Sekun­de.
Zum Ver­gleich: Der Durch­satz des DeCIX liegt in der Spit­ze der­zeit bei 500 Gbit/s an einem Tag — der Angriff beträgt also von der Daten­men­ge her in etwa 4% der Spit­ze des gesam­ten Inter­net­ver­kehrs über die­sen zen­tra­len Kno­ten in Deutsch­land. In moder­nen 16/1 MBit-DSL-Lei­tun­gen gespro­chen heißt dies das ca. 20.000 voll aus­ge­las­te­te DSL-Upstreams not­wen­dig wären um die­ses Volu­men zu errei­chen. Mit nor­ma­len älte­ren DSL‑, ISDN- und Ana­log­lei­tun­gen wür­den hier­für ent­spre­chend noch wesent­lich mehr Ver­bin­dun­gen benö­tigt. Man kann sicher­lich ohne Über­trei­bung von einem extre­men Aus­maß spre­chen.