Radware: Layer-7-Angriffe sind Normalität

Sieben Arten von DDoS-Angriffen auf der Anwendungsebene

11. August 2020, 12:00 Uhr   |  Anna Molder

Sieben Arten von DDoS-Angriffen auf der Anwendungsebene
© Wolfgang Traub

Seit sich die Abwehrmechanismen an einfache volumetrische DDoS-Angriffe angepasst haben und die meisten ISPs und Anbieter von Public Clouds einen grundlegenden Schutz gegen Floods auf der Netzwerkschicht bieten, verlegen sich Angreifer nach Angaben der Sicherheitsexperten von Radware zunehmend auf Angriffe auf der Anwendungsebene.

DDoS-Angriffe auf der Anwendungsebene (Layer 7) stellen laut Radware eine einzigartige Herausforderung für die DDoS-Abwehr dar, da sie einen Einblick in das Anwendungsverhalten erfordern und es schwierig ist, allein anhand des Datenverkehrs auf der Netzwerkschicht zu erkennen, ob eine Anfrage legitim oder böswillig ist. Da zudem immer mehr Web-Verkehr mit SSL/TLS und HTTPS verschlüsselt ist, ist die DDoS-Abwehr häufig nicht in der Lage, den Inhalt des Pakets selbst einzusehen. Infolgedessen können viele Arten von DDoS-Abwehrmaßnahmen nicht zwischen einer legitimen Spitze im Kundenverkehr und einem tatsächlichen Angriff unterscheiden. Radware nennt insbesondere sieben Arten von DDoS-Angriffen auf Anwendungsebene, auf die man achten sollte.

HTTP Floods funktionieren, indem große Mengen von HTTP-Anfragen auf eine Website erfolgen, um die Ziel-Server mit Anfragen zu überlasten. In dieser Hinsicht ähnelt diese Art von Angriff Floods auf Netzwerkebene, mit der Ausnahme, dass dieser Angriff auf der Anwendungsebene stattfindet und große Mengen von HTTP/S-GET- oder HTTP/S-POST-Anfragen verwendet.

Eine SSL Garbage Flood zielt speziell auf den SSL-Handshake-Mechanismus von Web-Anwendungen, um Server-Ressourcen zu überlasten. Der SSL/TLS-Handshake-Mechanismus ist ein hochgradig asymmetrischer Prozess, der bis zu 15 Mal mehr Rechenressourcen vom eingehenden Server als vom anfragenden Client erfordert. Das bedeutet, dass Angreifer mit nur wenigen Anfragen verheerende DDoS-Angriffe starten können.

Wie Flood-Attacken zielen Low- und Slow-Angriffe darauf ab, Ziel-Server durch Überlastung der Server-Ressourcen auszuschalten. Im Gegensatz zu Flood-Angriffen geschieht dies bei Low-and-Slow-Angriffen jedoch nicht durch das Versenden großer Datenmengen, sondern vielmehr durch den umgekehrten Ansatz, dem Versenden einer kleinen Anzahl von Verbindungen, die jedoch so lange wie möglich offen bleiben, bis die Ressourcen des Ziel-Servers erschöpft sind.

Eine "HTTP-Bombe" verwendet die HTTP-Post-Methode, um große, komplexe Post-Anforderungen zu senden (normalerweise als XML-Datenstruktur geskriptet), die der Ziel-Server dann zu parsen versucht. Aufgrund der Größe und Komplexität der Post-Anforderung (oder der "Bombe") wird der Server am Ende jedoch große Mengen an Rechenressourcen verbrauchen, die letztendlich erschöpft sind und den Server zum Absturz bringen. Dies kann ein besonders schwer abzuwehrender Angriff sein, da er eine hohe Anzahl von Server-Ressourcen mit einer begrenzten Anzahl von Verbindungen nutzen kann.

Im Gegensatz zu den meisten DDoS-Angriffen zielt eine „Outbound Pipe Saturation Attack“ nicht auf die eingehende Traffic-Pipe des Servers, sondern vielmehr auf die Sättigung der ausgehenden Traffic-Verbindung. Viele Web-basierte Dienste ermöglichen das Herunterladen großer Dateien wie Software-Updates, Betriebssystem-Images, Datenbanken und Anwendungsdaten. Selbst moderne Websites können sehr groß sein, wenn sie große Grafiken und andere Objekte enthalten. Angriffe auf das Herunterladen großer Dateien zielen darauf ab, die Fähigkeit des Servers zur externen Kommunikation auszuschöpfen, indem die ausgehende Verbindung mit großen Mengen ausgehender Daten gesättigt wird.

Obwohl nicht ausdrücklich als solche bezeichnet, tragen viele Arten von Angriffen auf Web-Anwendungen auch die Merkmale einer DDoS Flood. Dies liegt daran, dass Brute-Force-Angriffe auf Anwendungen häufig mit hohen Raten arbeiten und große Mengen an Fehlermeldungen auf Anwendungsebene erzeugen, die der Server verarbeiten und bearbeiten muss.

Ein „Denial of Inventory“-Angriff auf der Anwendungsebene ist an sich kein DDoS-Angriff, aber er erreicht dieselben Ziele, indem er die Fähigkeit des Unternehmens, seine Kunden zu bedienen, zunichte macht. Denial-of-Inventory-Angriffe verwenden automatisierte Bots, um in die Anwendungen des Unternehmens einzudringen und Kaufanfragen zu initiieren, ohne den Kauf tatsächlich abzuschließen.

Weitere Informationen stehen unter www.radware.com zur Verfügung.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Radware GmbH

Radware

Angriffsabwehr