Was sagt man eigentlich, wenn man zum zweiten Mal innerhalb von vier Wochen einen Anruf bekommt, dass es da ein massives Problem mit der Erreichbarkeit eines der eigenen Server gibt?
Meine Antwort lautete: “Oh nein - bitte nicht solche Hiobsbotschaften. Nicht schon wieder …”
Man macht ein paar Tests. Die Ergebnisse sind eindeutig: Der Server ist weg … Na, sagen wir mal lieber: “nicht erreichbar”. Man hofft ja noch …
Erstes zaghaftes Aufatmen: Er antwortet auf den ping. Nach einer Minute hat man Gewissheit: Das Problem sind die Nameserver.
Erstaunen: Na nu, die sind doch von Schlundtech. Grübel: “So richtig kann ich mir ja nicht vorstellen, dass die ein so massives Problem haben sollten …”
Egal wie man es dreht und wendet: Es sind die DNS-Server von Schlundtech: Keine Antwort, kein Lebenszeichen - einfach nur tot.
Fünf Minuten sind seit dem Anruf vergangen. Okay - so langsam sollten die Nameserver jetzt wieder erreichbar sein …
Aber nichts tut sich.
Gut dann eben mal den Newsticker befragt: Nichts zu finden. Komisch … Blogsearch findet auch nichts. Langsam wird man ungeduldig und überlegt sich erste Schritte.
Forsch will man dann zur Tat schreiten um schon im nächsten Moment das ganze Ausmass der eigenen Ohnmacht zu erkennen: Das Webinterface von Schlundtech ist nicht erreichbar. Tja, damit hat sich dann das Ändern der zuständigen Nameserver auch erledigt. Was bleibt ist abwarten …
Langsam trudeln erste Meldungen ein: Blogsearch findet was und auch der Newsticker spuckt nun aus, was die Ursache des ganzen Ungemachs ist: Eine DDoS-Attacke auf die Nameserver von InternetX zu denen auch Schlundtech gehört.
Erste Zahlen machen die Runde. An dem massiven Angriff sollen rund 40.000 Rechner beteiligt gewesen sein, die mit einer Gesamtbandbreite von mehr als 20 GBit/s über die Nameserver hergefallen sind.
Zu den betroffenen Opfern gehören selbst prominente Websites wie golem.
Eine Vermutung tut sich auf: An den vergangenen Tagen waren zum Teil massive ssh-Attacken zu beobachten, die auch bei mir zu härteren Abwehrmaßnahmen führten. Waren sie ein Teil der Vorbereitungen dieses jetzt durchgeführten Angriffs auf die DNS-Server? Vorerst nur Spekulation …
17:00 Uhr: Die Situation hat sich verbessert und es sind kaum noch Einschränkungen festzustellen.
Update: 24.11.2008 21:46 Uhr
Heute um 19:09 Uhr gab es eine Email von Schlundtech, die nähere Details enthält. Die Email hat im Auszug folgenden Wortlaut:
…
am Freitag, 21.11.08, ab 09:20 Uhr, wurde auf die Schlund Technologies Infrastruktur ein massiver DDoS-Angriff gestartet. Auswertungen haben ergeben, dass der Angriff im Besonderen dem Nameserverpool galt.Mit einer gezielten DDoS(Distributed Denial of Service)-Attacke, also einer dezentralen Angriffsstrategie, die ca. 40.000 infizierte Client- bzw. Serversysteme zum gemeinsamen Angriff auf ein Ziel koordinierte, wurde ein Peak in der Gesamtbandbreite von über 20 Gbit/s und ca. 800.000 Paketen pro Sekunde erreicht. Dies schränkte diverse Backbonebetreiber in ihren freien Ressourcen ein und führte zu temporären Störungen.
Die Angriffe wurden in Form von „UDP Fragmenten” und reinen „UDP Floods” geführt. Schlund Technologies hat in Zusammenarbeit mit zahlreichen Carriern und oben genannten Backbonebetreibern gemeinsam eine Lösung bzw. komplexe Regelwerke zur effizienten Filterung der Angriffe entwickelt und seit Freitag, 21.11.2008, 15:48 Uhr, erfolgreich im Einsatz.
Wir möchten uns an dieser Stelle für etwaige Unannehmlichkeiten entschuldigen und Ihnen für Ihr Verständnis danken.
…
Damit scheint das Problem aus der Welt zu sein.
Eine Zwischeninformation wäre aber trotzdem wünschenswert gewesen. Auch wenn es schwer ist, dafür den richtigen Zeitpunkt zu finden. Schließlich muss man ja erstmal halbwegs sicher sein, dass die getroffenen Maßnahmen auch wirklich greifen.
am 22.11.2008 um 10:22 Uhr:
Wahnsinn, was da los war… Selbst eine von uns bei Microsoft gehostete Seite war down.
am 22.11.2008 um 14:19 Uhr:
[…] [via] [via] [via] [via] [via] [via] [via] [via] [via] [via] [via] [via] [via] [via] [via] [via] […]
am 24.11.2008 um 16:23 Uhr:
Meine Server waren auch alle betroffen. Auch ich habe seit Freitag eine gestiegene Anzahl von ssh-Attacken bemerkt, die auch zu Abwehrmaßnahmen führten (u.a. Python Script “Denyhosts”). Das nervt völlig und kostet super viel Zeit!
Zur Informationspolitik von InetnetX (Schlund) hätte ich mir gewünscht, dass sie über den Status der DDOS Attacke besser informieren. Das habe ich auch dem Kundenservice geschrieben. Meine Informationsquelle war das Heise Forum, indem Betroffene über “geht wieder” oder “nein, schon wieder weg” berichteten. Bis heute gibt es noch nichts offizielles, in der Domainverwaltung steht sogar immer noch, der eine DDOS Attacke stattfindet. Und das, obwohl der Zauber eigentlich schon vorbei ist. Oder doch nicht?
am 24.11.2008 um 17:28 Uhr:
Hallo Klaus,
Schlund hat mir zumindest am Freitag um 20:48 Uhr ‘ne Email geschrieben. Allerdings stand da auch nichts anderes drin, als das die Welt zu dem Zeitpunkt eh schon von Heise und anderen wusste:
… es läuft eine DDoS-Attacke auf unsere DNS-Server … Anzahl Hosts + Bandbreite …
Aber seit dem kam auch nichts mehr. Abends war der Spuk jedenfalls so weit vorbei, dass es problemlos möglich war neue Domains zu registrieren und auch im Nameserver einzutragen.
Samstag haben die Nameserver dann noch ein paar Mal “geschwächelt” aber ansonsten hat man das Problem wohl im Griff.
Allerdings steht im Konfigmenü auch aktuell immer noch der von Dir zitierte Satz. Also so langsam könnten sie mal neue Infos bringen.
Ansonsten hoffe ich, dass bei Dir nach dem ct-Artikel wieder etwas Ruhe eingetreten ist
Ich werde mich in den nächsten Tagen mal bei Dir melden, da ich unbedingt was mit Dir “bequatschen” will.
am 24.11.2008 um 17:39 Uhr:
Hallo Thomas,
mein Problem war, dass ich hier im Firmennetz (mit gecachten Nameserver-Einträgen) alle Server erreichen konnte
- ich hatte das Problem erst Nachmittags mitbekommen. Ich dachte mir nur, dass das aber ein ruhiger Tag ist… wenig E-Mail, nur die Hälfte des sonst üblichen Traffics. Irgendwann kamen dann nachmittags einige Mails rein (”ist GPSies offline??”) und ich war dann auch im Bilde. Ich habe dann den gleichen Weg beschritten, wie du 
Ja, der ct-Artikel war sehr gut, das könnte ich öfter gebrauchen. Zur zeit ist es etwas ruhiger, da das Wetter nicht gerade zum “Draußensein” verleitet.
Klar, du kannst dich gerne melden, wir können ja auch mal wieder ein Bierchen trinken oder auch zwei.
am 24.11.2008 um 22:10 Uhr:
Ja, mir ging es so ähnlich. Allerdings hatte ich das Glück, dass ich zum Zeitpunkt des ersten Anrufs über drei verschiedene Zugangsnetze die Nameserverfügbarkeit testen konnte.
Offen bleibt, wie viele Emails durch die Nichtverfügbarkeit der MX-Records verloren gingen.
Ansonsten könnte man ja fast das Gefühl bekommen, dass die Schlundtech’s hier mitlesen, da sie ja heute dann doch noch was geschickt haben (s. Ipdate oben).
Das mit dem Bier ist ‘ne gute Idee - wird langsam mal wieder Zeit
Ich melde mich dann bei Dir in den nächsten Tagen zwecks “Terminabsprache” 
am 19.12.2008 um 23:12 Uhr:
Wiedermal ein toller Beitrag und ein tolles Jahr zu Ende! Ich wollte mich bei Dir für die unterhaltsamen aber auch informativen Beiträge bedanken und wünsche dir ein Frohes Fest und einen guten Rutsch ins neue Jahr! Ich fahre jetzt erstmal in Urlaub! Bis denne…
am 24.01.2009 um 11:30 Uhr:
Mit so was ist leider nicht zu spaßen. Wenn man die Seite privat nutzt, dann geht es noch eher, als wie wenn es sich um eine geschäftliche Seite handelt. Da finde ich so was besonders ärgerlich. Ich finde, so was kann man schon eingrenzen und dann auch verhindern. Natürlich ist das nicht immer so einfach, aber die haben doch alle sehr viel Grips in der Birne und da lässt sich sicher was machen. Ich denke, dass sich auf diesem Gebiet auch in Zukunft einiges ändern wird, um solche Sachen zu vermeiden.