Gli attacchi DDoS consistono nell'invio di un gran numero di pacchetti di richieste ad un singolo server, con conseguente sovraccarico e malfunzionamento delle macchine. Le richieste sono spesso inviate da "botnet" più o meno estese, veri e propri eserciti di computer "zombie" infettati, che, all'insaputa dei rispettivi proprietari, sono controllati da cyber-criminali.

I primi attacchi DDoS diretti contro il sito spamhaus.org si sono verificati il 18 marzo. L'organizzazione antispam ha dovuto chiedere l'intervento di CloudFlare, azienda specializza nel campo della sicurezza internet, che è riuscita a mitigare l'attacco.

Il traffico generato, durante i due primi giorni di attacchi diretti a Spamhaus, ha sfiorato picchi di 90 Gbps. Il 22 marzo, l'attacco ha poi raggiunto il record di 120 Gbps. CloudFlare, intervenuta in soccorso di Spamhaus, ha usato la tecnologia "Anycast" per redistribuire le richieste sull'intero data center dell'azienda di sicurezza, contrastando definitivamente gli attacchi, dopo 4 ore dall'inizio.

Ma gli hacker hanno cambiato tattica, indirizzando gli attacchi su provider "Tier 2", dai quali CloudFlare acquista la banda.

Internet può essere pensata come una rete di network interconnessi. I provider "Tier 1" rappresentano le compagnie in possesso di collegamenti diretti con tutti i restanti network, e sono attualmente circa una dozzina in tutto il globo. I "Tier 2" sono invece compagnie in possesso di collegamenti estesi, ma acquistano una importante fetta di banda per completare i collegamenti con ogni punto di Internet.

Un attacco DDoS diretto ad un provider "Tier 1", pertanto, potrebbe compromettere il funzionamento complessivo di Internet. Attualmente, l'arma di difesa più efficace contro gli attacchi DDos è rappresentata dalla tecnologia Anycast che, per alleggerire il carico di traffico, risale gerarchicamente fino ai network "Tier 1".

Durante gli ultimi attacchi si sono registrati, dai provider "Tier 1", picchi superiori ai 300 Gbps, valore più elevato mai registrato nella storia di Internet e che è capace di mettere in ginocchio anche provider di questa categoria. Durante gli attacchi, infatti, si è assistito alla congestione di "Tier 1" europei, con conseguente rallentamento della navigazione web per milioni di utenti.

L'attacco portato contro Spamhaus si inquadra in una nuova famiglia denominata "DNS Amplification Attack", ovvero attacchi DDos "amplificati" da una storica vulnerabilità dei server DNS, i quali utilizzano la tecnica della ricorsione per ottenere gli indirizzi IP dai nomi di dominio. Numerosi server ricorsivi, aventi il compito di risolvere le query che ricevono e inviare al richiedente gli indirizzi, sono aperti. Un qualsiasi client può inviare query a tali server, da qualsiasi angolo del mondo...

CyberBunker ha respinto le accuse di essere la diretta responsabile degli attacchi in oggetto. Ciò nonostante, è molto facile individuare nell'azienda olandese almeno il "mandante" degli attacchi. Attorno a CyberBunker si è infatti radunata una folta comunità di hacker e sostenitori della libertà di internet, in gran parte confluita in STOPhaus, movimento che descrive il "Progetto Spamhaus" come una minaccia per la libertà di Internet, raccogliendo intorno a sé politici, giudici e avvocati per privare la connessione a qualsiasi sito, a suo libero piacimento, con la scusa di combattere lo spamming.

Sul forum di STOPhaus è stata pubblicata una ricostruzione della vicenda, confermando la tecnica di amplificazione del traffico, descritta come una vendetta esemplare ai tanti attacchi sempre "mortali" portati avanti da Spamhaus tramite i tribunali.