Anatomie eines DDoS-Angriffs - Teil 5: Application Layer Attacken

DDoS-Angriff auf die Applikation

| Autor / Redakteur: Jim Öqvist, Check Point / Peter Schmitz

Mit einfachen Tools und Bots lassen sich leicht Tausende von Anfragen z.B. an Shopsysteme schicken und diese so für normale Nutzer lahmlegen. Bei der Abwehr muss man darauf achten, dass man legitime Kunden nicht versehentlich aussperrt.
Mit einfachen Tools und Bots lassen sich leicht Tausende von Anfragen z.B. an Shopsysteme schicken und diese so für normale Nutzer lahmlegen. Bei der Abwehr muss man darauf achten, dass man legitime Kunden nicht versehentlich aussperrt. (Bild: Markus Haack - Fotolia.com)

Application Layer Attacken sind inzwischen die häufigte Form der DDoS-Angriffe. Unterschieden wird zwischen „appliaction flood“ und „low and slow“ Angriffen. Eines der bekanntesten DDoS-Tools ist die Low Orbit Ion Canon (LOIC), die gern von Anonymous-Unterstützern eingesetzt wird.

Bei den Attacken auf einzelne Anwendungen oder Server werden zwei verschiedene Varianten unterschieden, eine mit einer Flut von Anfragen mit einem großen Umfang an den Application Layer gegen einen speziellen Server und eine mit kleinen und langsamen Anfragen.

Diese Arten von Attacken werden normalerweise mit einem Netzwerk von Bots ausgeführt, da sie eine komplett legitime TCP Session öffnen müssen und nicht gespoofed werden können. Hier lassen sich mit Bots auch wesentlich größere Effekte erzielen.

Diese Bots sind normalerweise an einen IRC Channel angebunden, über den der Angreifer die Bots kontrollieren und die Attacke koordiniert starten kann, indem er Chat-Einträge an den Channel schreibt, die von den Bots als Kommandos empfangen werden.

Application Flood

Der Angreifer befiehlt seinen Bots über IRC, eine HTTP-Verbindung zu dem anvisierten Webserver zu öffnen. Oder aber bei einer Kampagne von beispielsweise einer Gruppe von Hacktivisten, fragen diese ihre Unterstützter, ob diese ihnen über einen speziellen IRC Channel folgen. In diesem Channel weist der Anführer der Gruppe diese Unterstützer an ein gewisses Ziel zu einer gewissen Zeit mit Anfragen zu überfluten, um die Attacke zu koordinieren.

Diese Bots oder Unterstützer fangen dann damit an, den Webserver mit HTTP Anfragen zu überfluten, indem sie beispielsweise bestimmte Seiten mit großem Ladevolumen aufrufen. Der Webserver versucht, alle Anfragen zu bedienen, aber da es sich um zu viele von ihnen handelt, werden die Ressourcen des Webservers wie CPU-Kapazitäten überlastet. Die legitimen Anfragen werden dann nicht mehr beantwortet, weil die Webserver nicht so viele Anfragen bearbeiten können.

Ergänzendes zum Thema
 
Check Point DDoS Protector

Diese Attacken sind einerseits sehr anspruchsvoll, aber andererseits sehr einfach auszuführen. Sie sind in der Lage traditionelle Sicherheitslösungen wie Firewalls, IPS oder Application Control zu umgehen. Der Grund dafür ist, dass sie aus der Perspektive dieser Sicherheitslösungen als legitime Anfragen aussehen. Die Anfrage ist dann eine normale HTTP-Anfrage auf beispielsweise Port 80, so dass die Firewall diesen zulässt. Auch der Inhalt ist komplett legitim, so dass die Application Control diesen erlaubt und die Daten keinen gefährlichen Code enthalten.

Auch in diesem Fall wird IPS diesen nicht triggern. Der Unterschied liegt beim Verhalten. Ein normaler User wird eine Verbindung öffnen und ein paar Seiten herunterladen sowie vielleicht auf einen anderen Link klicken. Ein Bot wird eine Menge von Verbindungen öffnen, um eine Menge von Webseiten herunterzuladen und dies zur selben Zeit vielfach tut. Wie bereits zuvor erwähnt, diese anspruchsvollen Attacken sind sehr einfach auszuführen, jeder kann eine Low Orbit Ion Canon von Sourgeforce herunterladen und eine HTTP-Anfragenflut an ein gewisses Ziel senden.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42285739 / Intrusion-Detection und -Prevention)