![\"Michael](\"https:\/\/www.fachzeitungen.de\/fachbeitraege\/wp-content\/uploads\/2020\/08\/388285-e1596797486684.jpg\" "\\"Cybersicherheit")
Seit sich die Abwehrmechanismen an einfache volumetrische DDoS-Angriffe angepasst haben und die meisten ISPs und Anbieter von Public Clouds in der Lage sind, einen grundlegenden Schutz gegen Floods auf der Netzwerkschicht zu bieten, verlegen sich Angreifer nach Angaben der Sicherheitsexperten von Radware zunehmend auf Angriffe auf die Anwendungen selbst.<\/p>
DDoS-Angriffe auf der Anwendungsebene (Layer 7) stellen laut Radware eine einzigartige Herausforderung f\u00fcr die DDoS-Abwehr dar, da sie einen Einblick in das Anwendungsverhalten erfordern und es schwierig ist, allein anhand des Datenverkehrs auf der Netzwerkschicht zu erkennen, ob eine Anfrage legitim oder b\u00f6swillig ist. Da zudem immer mehr Web-Verkehr mit SSL und HTTPS verschl\u00fcsselt wird, ist die DDoS-Abwehr h\u00e4ufig nicht in der Lage, den Inhalt des Pakets selbst einzusehen. Infolgedessen sind viele Arten von DDoS-Abwehrma\u00dfnahmen nicht in der Lage, zwischen einer legitimen Spitze im Kundenverkehr (z. B. w\u00e4hrend einer Flash-Crowd oder einer Urlaubsspitze) und einem tats\u00e4chlichen Angriff zu unterscheiden.<\/p>
Radware nennt insbesondere sieben Arten von DDoS-Angriffen auf Anwendungsebene, auf die man achten sollte:<\/p>
HTTP\/S Flood<\/p>
HTTP Floods funktionieren, indem gro\u00dfe Mengen von HTTP-Anfragen auf eine Webseite geleitet werden, um die Zielserver mit Anfragen zu \u00fcberlasten. In dieser Hinsicht \u00e4hnelt diese Art von Angriff Floods auf Netzwerkebene, mit der Ausnahme, dass dieser Angriff auf der Anwendungsebene stattfindet und gro\u00dfe Mengen von HTTP\/S-GET- oder HTTP\/S-POST-Anfragen verwendet.<\/p>
Da der Gro\u00dfteil des Internet-Verkehrs heutzutage jedoch verschl\u00fcsselt ist, handelt es sich bei den meisten HTTP-Flooding-Angriffen heutzutage tats\u00e4chlich um HTTPS-Floods. Verschl\u00fcsselte Floods sind nicht nur wegen der hohen Menge an Server-Ressourcen, die zu ihrer Bew\u00e4ltigung ben\u00f6tigt werden, viel wirksamer, sondern f\u00fcgen auch eine Ebene der Komplexit\u00e4t hinzu: Die DDoS-Abwehr kann in der Regel den Inhalt der HTTPS-Anforderungen nicht \u00fcberpr\u00fcfen, ohne den gesamten Datenverkehr vollst\u00e4ndig zu entschl\u00fcsseln.<\/p>
SSL Negotiation\/Garbage Flood<\/p>
Eine SSL Garbage Flood zielt speziell auf den SSL-Handshake-Mechanismus von Web-Anwendungen, um Server-Ressourcen zu \u00fcberlasten. Der SSL\/TLS-Handshake-Mechanismus ist ein hochgradig asymmetrischer Prozess, der bis zu 15 Mal mehr Rechenressourcen vom eingehenden Server als vom anfragenden Client erfordert. Das bedeutet, dass Angreifer mit nur wenigen Anfragen verheerende DDoS-Angriffe starten k\u00f6nnen.<\/p>
Solche Angriffe funktionieren, indem sie eine gro\u00dfe Anzahl von „M\u00fcll“-Anforderungen zur Initiierung von SSL\/TLS-Verbindungen senden, um die Ressourcen zu \u00fcberlasten und die F\u00e4higkeit des Servers, neue Verbindungen anzunehmen, einschr\u00e4nken. Auch HTTPS Floods machen sich diesen Mechanismus zunutze, es gibt aber auch andere Varianten wie verschl\u00fcsselte SYN Floods oder SSL-Re-Negotiation, bei denen SSL-Handshakes kontinuierlich initiiert, abgebrochen und dann neu erstellt werden.<\/p>
Low and Slow<\/p>
Wie Flood-Attacken zielen Low- und Slow-Angriffe darauf ab, Zielserver durch \u00dcberlastung der Server-Ressourcen auszuschalten. Im Gegensatz zu Flood-Angriffen geschieht dies bei Low-and-Slow-Angriffen jedoch nicht durch das Versenden gro\u00dfer Datenmengen, sondern vielmehr durch den umgekehrten Ansatz, bei dem eine kleine Anzahl von Verbindungen gesendet wird, die jedoch so lange wie m\u00f6glich offen bleiben, bis die Ressourcen des Zielservers ersch\u00f6pft sind.<\/p>
Durch diesen Ansatz k\u00f6nnen Low-and-Slow-Angriffe unter dem Radar der traditionellen DDoS-Verteidigung auf der Grundlage von Schwellenwerten fliegen, da sie keine gro\u00dfen Spitzen im Datenverkehr verursachen, die durch Ratenbeschr\u00e4nkungen begrenzt werden k\u00f6nnen.<\/p>
Es gibt zahlreiche Varianten dieses Ansatzes, die gew\u00f6hnlich nach den Hacking-Tools benannt sind, die sie verwenden. Eine h\u00e4ufige Angriffsvariante ist Slowloris, das HTTP-Anfragen offen h\u00e4lt, indem es st\u00e4ndig unvollst\u00e4ndige HTTP-Header sendet, die Anfrage aber nie abschlie\u00dft. Eine andere bekannte Variante ist R.U.D.Y. („R U Dead Yet?“), die HTTP-POST-Verbindungen mit dem Server herstellt, aber das Senden von POST-Daten so lange wie m\u00f6glich vermeidet und dann die Daten sehr langsam sendet, wodurch die F\u00e4higkeit des Servers, neue Verbindungen anzunehmen, eingeschr\u00e4nkt wird.<\/p>
HTTP\/S Bombing<\/p>
Eine „HTTP-Bombe“ verwendet die HTTP-POST-Methode, um gro\u00dfe, komplexe POST-Anforderungen zu senden (normalerweise als XML-Datenstruktur skriptiert), die der Zielserver dann zu parsen versucht. Aufgrund der Gr\u00f6\u00dfe und Komplexit\u00e4t der POST-Anforderung (d.h. der „Bombe“) wird der Server am Ende jedoch gro\u00dfe Mengen an Rechenressourcen verbrauchen, die letztendlich ersch\u00f6pft sind und den Server zum Absturz bringen. Dies kann ein besonders schwer zu verteidigender Angriff sein, da er eine hohe Anzahl von Serverressourcen mit einer begrenzten Anzahl von Verbindungen nutzen kann.<\/p>
Outbound Pipe Saturation Attack<\/p>
Im Gegensatz zu den meisten DDoS-Angriffen zielt dieser Angriffsvektor nicht auf die eingehende Traffic-Pipe des Servers, sondern vielmehr auf die S\u00e4ttigung der ausgehenden Traffic-Verbindung.<\/p>
Viele webbasierte Dienste erm\u00f6glichen das Herunterladen gro\u00dfer Dateien wie Software-Updates, Betriebssystem-Images, Datenbanken, Anwendungsdaten usw. Selbst moderne Webseiten k\u00f6nnen sehr gro\u00df sein, wenn sie gro\u00dfe Grafiken und andere Objekte enthalten. Angriffe auf das Herunterladen gro\u00dfer Dateien zielen darauf ab, die F\u00e4higkeit des Servers zur externen Kommunikation auszusch\u00f6pfen, indem die ausgehende Verbindung mit gro\u00dfen Mengen ausgehender Daten ges\u00e4ttigt wird.<\/p>
Dies kann eine sehr effektive Art des asymmetrischen Angriffs sein, da die Anfrage nur wenige Bytes umfasst, w\u00e4hrend die Antwort Gigabytes gro\u00df sein kann. Dar\u00fcber hinaus k\u00f6nnen Angriffe auf die S\u00e4ttigung der ausgehenden Pipe sehr schwer zu erkennen und abzuschw\u00e4chen sein, da die meisten DDoS-Abwehrma\u00dfnahmen nur auf den eingehenden, nicht aber auf den ausgehenden Datenverkehr ausgerichtet sind.<\/p>
Bruteforce-Angriff<\/p>
Obwohl nicht ausdr\u00fccklich als solche bezeichnet, tragen viele Arten von Angriffen auf Webanwendungen auch die Merkmale einer DDoS Flood. Dies liegt daran, dass Bruteforce-Angriffe auf Anwendungen h\u00e4ufig mit hohen Rate arbeiten und gro\u00dfe Mengen an Fehlermeldungen auf Anwendungsebene erzeugen, die vom Server verarbeitet und bearbeitet werden m\u00fcssen.<\/p>
Beispiele f\u00fcr solche Bruteforce-Versuche sind das Scannen von Servern, das Knacken von Passw\u00f6rtern, das Ausf\u00fcllen von Zugangsdaten und vieles mehr. Die Herausforderung beim Umgang mit solchen Arten von Bruteforce-Angriffen besteht darin, dass es ohne vorherige Verarbeitung der Anfrage normalerweise sehr schwierig ist, zu wissen, welche Anfrage legitim ist und welche nicht.<\/p>
Denial of Inventory<\/p>
Diese Art des Angriffs auf der Anwendungsebene ist an sich kein DDoS-Angriff, aber er erreicht dieselben Ziele, indem er die F\u00e4higkeit des Unternehmens, seine Kunden zu bedienen, zunichte macht. Denial-of-Inventory-Angriffe verwenden automatisierte Bots, um in die Anwendungen des Unternehmens einzudringen und Kaufanfragen zu initiieren, ohne den Kauf tats\u00e4chlich abzuschlie\u00dfen. Infolgedessen wird der Bestand, der sich auf die Kaufanfrage bezieht – wie z.B. Flugtickets, Veranstaltungstickets, Lagerbestand usw. – vor\u00fcbergehend gesperrt und ist f\u00fcr tats\u00e4chliche Kunden, die denselben Bestand kaufen m\u00f6chten, nicht verf\u00fcgbar.<\/p>
Obwohl diese Art von Angriff nicht auf die Traffic-Pipe oder die Server-Ressourcen selbst abzielt, erzielt er dasselbe Ergebnis, indem er legitimen Kunden den Service verweigert. Auch dies ist eine besonders schwer abzuschw\u00e4chende Form des Angriffs, da es schwierig ist, einen tats\u00e4chlich zahlenden Kunden von einem Bot zu unterscheiden.<\/p>
„Angesichts der Agilit\u00e4t, die finanziell gut ausgestattete Hacker heute erreichen k\u00f6nnen, reichen menschliche Diagnose und Mitigation nach Angaben nicht mehr aus“, so Michael Tullius, Managing Director DACH bei Radware. „Sie erfordert Anti-DDoS-L\u00f6sungen, die maschinelles Lernen mit negativen und positiven Sicherheitsmodellen kombinieren.“ Herk\u00f6mmliche DDoS-L\u00f6sungen verwenden die Limitierung von Datenraten und manuelle Signaturerstellung, was zu einer erheblichen Anzahl von False Positives f\u00fchrt und neue Angriffsvektoren deutlich zu sp\u00e4t identifiziert.<\/p>
Radware\u00ae (NASDAQ: RDWR) ist ein weltweit f\u00fchrender L\u00f6sungsanbieter im Bereich Anwendungsbereitstellung und Cybersicherheit f\u00fcr virtuelle, cloudbasierte und softwaredefinierte Rechenzentren. Das preisgekr\u00f6nte Portfolio des Unternehmens sichert die unternehmensweite IT-Infrastruktur sowie kritische Anwendungen und stellt deren Verf\u00fcgbarkeit sicher. Mehr als 12.500 Enterprise- und Carrier-Kunden weltweit profitieren von Radware-L\u00f6sungen zur schnellen Anpassung an Marktentwicklungen, Aufrechterhaltung der Business Continuity und Maximierung der Produktivit\u00e4t bei geringen Kosten.<\/p>