- Door
- Jeroen Mulder
- geplaatst op
- 16 december 2015 08:00 uur
Echt serieus schade aanrichten op het internet? Dan richt je de aanval op de DNS rootservers. Dat gebeurde op 30 november en 1 december. Toen werd een aantal van de dertien rootservers aangevallen met een ongebruikelijke hoeveelheid verzoeken. Heeft niemand iets van gemerkt, althans: geen eindgebruikers. Internetspecialisten verdeelden zich in twee kampen: het eerste kamp had het over een ‘slooppoging’ van het internet en rees de rode vlag. Het tweede kamp stelde tevreden vast dat er niks aan de hand was: de infrastructuur was robuust genoeg gebleken. Het eerste is niet helemaal waar en het laatste is veel te optimistisch.
Feit is dat een aantal van de dertien rootservers die de ruggengraat van het internet vormen, werd aangevallen. Dat werd op de meest traditionele manier gedaan, door deze servers te bombarderen met ongebruikelijk veel verzoeken. Op 30 november duurde de aanval twee uur, op 1 december slechts een uur, waarin vijf miljoen queries per seconde op de servers werden afgevuurd. Dat is inderdaad ruimschoots meer dan een normale ‘load’ op deze servers. Normaliter verwerken de servers tot 50.000 queries per seconde. In dit geval werden de queries ook nog eens uitgevoerd op slechts twee domeinnamen die verder – vanzelfsprekend – niet bekend zijn gemaakt.
Zijn vijf miljoen verzoeken per seconde een probleem? Nee. De infrastructuur is gebouwd en ingericht om een veelvoud van dit verkeer te kunnen opvangen. Ja, het is opmerkelijk, maar de topologie van de DNS root maakt het mogelijk om dit verkeer keurig te ‘verdelen’. Hooguit zullen er hier en daar wat time outs zijn geweest, maar daar heeft niemand wat van gemerkt. Een ‘slooppoging’ kun je dit amper noemen.
Toch is dit wel een zorgelijk fenomeen. Deze aanvallen zijn dan misschien niet zo gevaarlijk geweest, maar het zijn wel signalen. Sterker, wellicht zijn dit een soort eerste verkenningen geweest. De aanvallen liepen via anycast-sites en vervolgens naar de rootservers. Er is dus geen sprake van een paar locaties, maar van mogelijk honderden tot duizenden locaties waar vandaan de aanval werd gestuurd. Het achterhalen van bronadressen is daarmee ‘onrealistisch’, zoals rootops – de root operators – meldt in de eigen verklaring op 4 december.
De aanval was hiermee beduidend anders dan andere aanvallen. Er rest nu maar één vraag: waren dit slechts twee incidenten, toevallig twee dagen achter elkaar? Welnee. Zo naïef zal niemand zijn. Maar de impact van de beide aanvalsgolven was gering en dat hebben de aanvallers echt geweten. Het is nu alleen een kwestie van ‘opschalen’. Want het is duidelijk dat je met deze technologie de rootservers flink kunt laten zweten en ultimo ‘down’ kunt brengen. Daarmee zijn de incidenten in het meest pessimistische scenario een slecht omen.
Als je in staat bent om vijf miljoen verzoeken per seconde te genereren, kun je dan ook twintig, vijftig of honderd miljoen queries per seconde laten versturen? Houden de rootservers dan ook nog stand? Nog belangrijker: hoe sla je dit soort aanvallen af en hoe kom je erachter waar dat verkeer vandaan komt? De twee incidenten op 30 november en 1 december tonen aan dat deze vragen eigenlijk niet kunnen worden beantwoord. En dat is niet echt een geruststellende gedachte in de wetenschap dat onze maatschappij zo langzamerhand echt tot stilstand komt als het internet serieus wordt bedreigd.