Juniper auf der IT-Security Management & Technology Conference 2014

Abwehr von „Low and Slow“-Attacken

| Autor / Redakteur: Dr. Andreas Bergler / Peter Schmitz

Karl-Heinz Lutz, Partner Development Channel System Engineer DACH bei Juniper
Karl-Heinz Lutz, Partner Development Channel System Engineer DACH bei Juniper (Bild: Juniper)

Eine zunehmend eingesetzte Art der DDoS-Attacken (Distributed Denial of Service) sind „Low and Slow“-Angriffe. Karl-Heinz Lutz von Juniper, der auf der IT-Security Management & Technology Conference 2014IT-Security Management & Technology Conference 2014 einen Vortrag halten wird, erklärt, welche Techniken gegen die neuen Bedrohungen helfen.

Security-Insider: ‚Low and Slow‘-Attacken dürften den wenigsten Unternehmen ein Begriff sein. Woran liegt das und was macht diese Art Angriffe so gefährlich?

Lutz: In der Vergangenheit nutzte man für DDoS-Attacken in erster Linie große Datenvolumen von vielen Quellen, um Interfaces, Ports oder Ressourcen des angegriffenen Netzes durch die pure Vielzahl von Anfragen zu blockieren oder zu überlasten. Die Quellen für diese Art von Angriffen lassen sich mittlerweile aber schnell identifizieren. Mit DDoS-Filtern und Rate Limitern auf entsprechenden Firewalls oder Appliances können solche Angriffe heute meist leicht gestoppt werden.

‚Low and Slow‘-Attacken, wie sie bei Tools wie LOIC oder SlowLoris verwendet werden, nutzen einen anderen Weg. Sie versuchen mit kleinen Paketraten aufwändige Abfragen bei den Webdiensten zu generieren und die Ressourcen auf den Web- oder Backend-Servern zu blockieren. So kann mit relativ geringen Datenmengen die Erreichbarkeit dieser Webcenter eingeschränkt werden, da sie nun ‚von innen‘ heraus überlastet sind.

Bisherige Firewalls sind für diese Art Angriffe nicht gewappnet, da die Anfragen regelkonform sind und somit von den konventionellen Firewall-Filtern nicht detektiert werden. Genau darin liegt die Gefahr für viele Kunden, da sie keine Tools für diese neuen Angriffsszenarien haben und bestehende Systeme zu viele False Positives generieren oder gänzlich bei der Erkennung versagen.

Security-Insider: Juniper beansprucht, mit seinen Lösungen Hacker stoppen zu können, bevor sie Schaden anrichten können. Wie funktioniert das?

Ergänzendes zum Thema
 
IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2014

Lutz: Juniper nutzt entsprechend den Angriffsszenarien verschiedene Technologien. So erkennt WebApp Secure Hacker bereits in der Erkundungsphase, indem es ‚Fake‘-Informationen in den Datenstrom einfügt, die dann nach Manipulation durch Hacker von WebApp Secure erkannt werden. Anschließend erfolgen ein Fingerprinting und die Profilierung des Angreifers. So können seine Aktivitäten auch bei Wechsel der IP-Adresse demselben Angreifer weiter zugeordnet werden. Fingerprints von Angreifern können sogar weltweit über eine Juniper-Datenbank (Spotlight) ausgetauscht werden. Das System kann variabel mit Verzögerungen bis hin zum Blockieren reagieren.

Bei den neuen ‚Low and Slow‘-Attacken überprüft DDoS Secure die Anfragen sowie den Zustand der Ressourcen und bewertet jede einzelne Session auf einen Angriffsversuch. Ziel beider Lösungen ist es, mit minimaler Konfiguration, unabhängig von Veränderungen der tatsächlich vorhandenen Installation, einen Schutz zu bieten und die gegenüber anderen Technologien gefürchteten False Positives möglichst vollständig zu eliminieren.

Security-Insider: Wie gewährleisten Sie, dass Angreifer – sogar unabhängig von der IP – zu hundert Prozent richtig erkannt werden?

Lutz: In der Tat sind IP-Adressen nur bedingt sinnvoll, da Hacker in den allerwenigsten Fällen von einer realen IP-Adresse angreifen, sondern TOR-Netze oder gestohlene Profile nutzen. Daher profilieren wir die Angreifer auf Basis eines Fingerprints. Dazu werden bis zu 200 Merkmale wie Browser-Version, Schriftarten oder Add-Ons an das Profil des Hackers gebunden.

Mehr über Junipers Schutz-Konzept für Datacenter lesen Sie auf der nächsten Seite.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 42723552 / Intrusion-Detection und -Prevention)