Spamhaus, Cloudflare, SURFnet

Vorige week lag Spamhaus vijf dagen plat door een DDoS-aanval. Uiteindelijk schakelde de Britse organisatie over op de enorme infrastructuur van CloudFlare, maar die raakte ook in de problemen. En daarmee ook veel klanten van CloudFlare, omdat de verbinding met de London Internet Exchange compleet dichtslibde.

Een ander slachtoffer was het Nederlandse SURFnet, dat een aantal servers van Spamhaus host. “De overlast was beperkt. Het is helaas niet de eerste keer dat dit gebeurt”, aldus Wim Biemolt van SURFcert, de securitytak van SURFnet.

Spamhaus omstreden

De DDoS-aanval komt voornamelijk van Chinese en Russische isp’s, klanten van CB3ROB en Cyberbunker, vertelt Sven Kamphuis. Die zijn kwaad dat ze om de haverklap op de zwarte lijst worden gezet door Spamhaus. Ook het netwerk van CB3ROB staat op die lijst. 

Spamhaus houdt zwarte lijsten bij met IP-adressen waar vandaan spam wordt verstuurd of malware wordt gehost. Als een hoster zo’n IP-adres niet snel genoeg uit de lucht haalt, zet Spamhaus de hele IP-range van de hoster op de zwarte lijst. Dit escalatiebeleid is zeer omstreden en leidt regelmatig tot woede in de hostingbranche.

Wie is de baas?

“Het was dus hoog tijd dat Spamhaus een trap in de reet kreeg”, aldus Kamphuis. “Ze denken dat ze de baas op internet, maar wíj zijn de baas. Op deze manier willen wij hun dubieuze rol in het daglicht zetten. Het is een slecht idee om censuur uit te besteden aan een vaag clubje dat aan niemand verantwoording aflegt.”

Kamphuis benadrukt dat de aanval alleen is gericht op Spamhaus. Dat Cloudflare en zijn klanten ook last kregen, is de keus van Cloudflare. Opmerkelijk genoeg had Spamhaus vorig jaar nog een conflict met Cloudflare, toen die weigerde een spammende klant te blokkeren. Spamhaus deed toen kortstondig bijna alle IP’s van Cloudflare in de ban.

Kamphuis hekelt ook de rol van SURFnet, “die overheidssubsidie misbruikt om Spamhaus te sponsoren”. Biemolt van SURFnet wil niet op de kritiek ingaan. Hij legt uit dat er sprake is van een simpele ruilconstructie: SURFnet host een mirror van Spamhaus-servers zodat SURFnet niet hoeft te betalen voor de diensten van Spamhaus.

Grootste DDoS ooit

Volgens Akamai is het de grootste DDoS-aanval in de geschiedenis van het internet, met een datatsunami die 300 miljard bits met per seconde (300 Gigabit/s) bereikte. Het gaat om een zogenaamde DNS-amplificatie aanval. De aanvallers sturen hiermee valse DNS-aanvragen naar duizenden DNS-servers op het internet, die afkomstig lijken van Spamhaus. De ontelbare DNS-servers sturen vervolgens hun antwoord automatisch terug, maar dus naar de servers van Spamhaus. Aangezien de DNS-antwoorden (response) vele malen groter zijn dan de vragen (query), wordt het verkeer richting Spamhaus op die manier vermenigvuldigd, met permanente opstopping tot gevolg.