Kurz vor Weihnachten klagten einige Verbraucherseiten im Internet über DDoS Angriffe und mussten ihre Seiten vorübergehend vom Netz nehmen. Neben computerbetrug.de, dialerschutz.de, antispam.de war wahrscheinlich auch das Forum snakecity.org vom selben Angriff betroffen. Und auch Gulli.com klagte über den Angriff ferngesteuerte virtueller Zombies. Die jetzt veröffentlichten Unterlagen jedoch zeigen, dass es sich um ein relativ kleines, aber wirkungsvolles Angreifernetz handelte, dagegen die Angaben in den Pressemitteilungen der Betroffenen ziemlich übertrieben waren.

Einen Angriff aus Osteuropa mit ferngesteuerten Rechnern im fünfstelligen Bereich vermeldete Sascha B. von Dialerschutz.de, die gleichen Angaben machte auch Gullis Lohnschreiber Richard J. aka korrupt. Ein Szenario wie aus Zeiten des kalten Krieges – Horden ferngesteuerter Computer-Bots aus dem Osten bedrohen engagierte deutsche Verbraucherseiten.

Doch die Wirklichkeit ist weitaus bescheidener, wenn man die wenigen veröffentlichten Fakten durchblättert. Die Gulli-Server werden nämlich durch eine externe Firma aus Franken administriert, die am Rande des CCC-Hacker-Kongresses in Berlin einige Daten an die Öffentlichkeit gab. Insgesamt wurden knapp 5.000 IP-Adressen als Angreifer identifiziert und gesperrt. Die Zahl der Bot-Rechner dürfte tatsächlich wesentlich kleiner sein, da es sich mehrheitlich um dynamische IP-Adressen handelt. Jeder Benutzer bekommt eine Neue, wenn er sich wieder ins Internet einloggt. Und auch den Angriff aus dem Osten kann man der Liste nicht entnehmen. Im Gegenteil nach einer Stichprobe unter 100 Adressen kamen über 60 Prozent der Angreifer aus Deutschland. Der Rest streute über den gesamten Erdball.

Dagegen ist die Wirkung solch kleiner Bot-Netze bereits katastrophal. Denn die betroffenen Webseiten liefern keine statischen Inhalte – also reine html-Seiten, sondern erzeugen die Inhalte von Aufruf zu Aufruf neu, also ebenso dynamisch – sei es durch ein ContentManagementSystem (CMS) oder durch entsprechende Forensoftware. Bei statischen Inhalten wird vom Webserver lediglich eine hinterlegte html-Seite abgerufen, das erledigt dieser flink. Dies würde bei solch kleinen Botnetzen zwar zu erhöhtem Traffic führen, den Webserver aber nicht aus dem Tritt bringen. Bei dynamischen Inhalten dagegen sorgt zum Beispiel ein php-Programm für die Ausgabe der Daten. Jeder Aufruf löst folgerichtig einen Programmstart aus – mit einer Vielzahl von Softwareschleifen und Datenbankabfragen. Das belastet den Webserver deutlich mehr und führt dazu, dass bereits wenige Angreifer durch pausenlose Anfragen solch ein System zum Stillstand bringen können.

Besonders empfindlich auf solche Attacken ist das CMS, das gulli.com neuerdings einsetzt. Die Seiteninhalte werden von Typo3 verwaltet, einem sehr umfangreichen und vielfach konfigurierbaren OpenSource-Programm. So gut die Software auch sein mag – das Ding ist ein wahrer Ressourcenfresser und bereits dem Ansturm der über 20.000 Forennutzer kaum gewachsen. Übertrieben gesagt – bereits ein mehrfaches Klicken auf die Reload-Funktion des Browsers kann hier einem DDoS-Angriff gleich kommen. Logischerweise können bereits kleine Bot-Netze solch eine Seite lahm legen.

Über die Ursachen, warum sich der oder die Angreifer diese fünf Webprojekte ausgesucht hat, kann man nur spekulieren. Mit Sicherheit handelt es sich dabei um keinen Angriff aus dem Osten, sondern um einen höchst deutschen, selbstgebackenen und kriminellen Konflikt. Antispam.de kenne ich nicht und ist immer noch nicht erreichbar. Computerbetrug und Dialerschutz haben sich viele Feinde im Dialer- und Abzockermilieu gemacht, die vor nichts zurückschrecken, wenn es um ihre Erwerbsquellen geht. Aber beide Seiten sind auch mit Werbepartnern unglückliche Verbindungen eingegangen.

Snakecity kämpft gegen unseriöse Internethändler, stand aber ob seiner Methoden bereits mehrfach in der Kritik. Und Gulli schließlich hat mit Verbraucherschutz gar nichts zu tun, nach meinem Empfinden genau so wenig wie mit seriöser Berichterstattung. Das selbsternannte „Untergrundportal“ setzt auf durchaus problematische Werbepartner und vermengt Information und Werbung auf das Feinste.