Suchen

Anatomie eines DDoS-Angriffs - Teil 5: Application Layer Attacken DDoS-Angriff auf die Applikation

| Autor / Redakteur: Jim Öqvist, Check Point / Peter Schmitz

Application Layer Attacken sind inzwischen die häufigte Form der DDoS-Angriffe. Unterschieden wird zwischen „appliaction flood“ und „low and slow“ Angriffen. Eines der bekanntesten DDoS-Tools ist die Low Orbit Ion Canon (LOIC), die gern von Anonymous-Unterstützern eingesetzt wird.

Firmen zum Thema

Mit einfachen Tools und Bots lassen sich leicht Tausende von Anfragen z.B. an Shopsysteme schicken und diese so für normale Nutzer lahmlegen. Bei der Abwehr muss man darauf achten, dass man legitime Kunden nicht versehentlich aussperrt.
Mit einfachen Tools und Bots lassen sich leicht Tausende von Anfragen z.B. an Shopsysteme schicken und diese so für normale Nutzer lahmlegen. Bei der Abwehr muss man darauf achten, dass man legitime Kunden nicht versehentlich aussperrt.
(Bild: Markus Haack - Fotolia.com)

Bei den Attacken auf einzelne Anwendungen oder Server werden zwei verschiedene Varianten unterschieden, eine mit einer Flut von Anfragen mit einem großen Umfang an den Application Layer gegen einen speziellen Server und eine mit kleinen und langsamen Anfragen.

Diese Arten von Attacken werden normalerweise mit einem Netzwerk von Bots ausgeführt, da sie eine komplett legitime TCP Session öffnen müssen und nicht gespoofed werden können. Hier lassen sich mit Bots auch wesentlich größere Effekte erzielen.

Diese Bots sind normalerweise an einen IRC Channel angebunden, über den der Angreifer die Bots kontrollieren und die Attacke koordiniert starten kann, indem er Chat-Einträge an den Channel schreibt, die von den Bots als Kommandos empfangen werden.

Application Flood

Der Angreifer befiehlt seinen Bots über IRC, eine HTTP-Verbindung zu dem anvisierten Webserver zu öffnen. Oder aber bei einer Kampagne von beispielsweise einer Gruppe von Hacktivisten, fragen diese ihre Unterstützter, ob diese ihnen über einen speziellen IRC Channel folgen. In diesem Channel weist der Anführer der Gruppe diese Unterstützer an ein gewisses Ziel zu einer gewissen Zeit mit Anfragen zu überfluten, um die Attacke zu koordinieren.

Diese Bots oder Unterstützer fangen dann damit an, den Webserver mit HTTP Anfragen zu überfluten, indem sie beispielsweise bestimmte Seiten mit großem Ladevolumen aufrufen. Der Webserver versucht, alle Anfragen zu bedienen, aber da es sich um zu viele von ihnen handelt, werden die Ressourcen des Webservers wie CPU-Kapazitäten überlastet. Die legitimen Anfragen werden dann nicht mehr beantwortet, weil die Webserver nicht so viele Anfragen bearbeiten können.

Diese Attacken sind einerseits sehr anspruchsvoll, aber andererseits sehr einfach auszuführen. Sie sind in der Lage traditionelle Sicherheitslösungen wie Firewalls, IPS oder Application Control zu umgehen. Der Grund dafür ist, dass sie aus der Perspektive dieser Sicherheitslösungen als legitime Anfragen aussehen. Die Anfrage ist dann eine normale HTTP-Anfrage auf beispielsweise Port 80, so dass die Firewall diesen zulässt. Auch der Inhalt ist komplett legitim, so dass die Application Control diesen erlaubt und die Daten keinen gefährlichen Code enthalten.

Auch in diesem Fall wird IPS diesen nicht triggern. Der Unterschied liegt beim Verhalten. Ein normaler User wird eine Verbindung öffnen und ein paar Seiten herunterladen sowie vielleicht auf einen anderen Link klicken. Ein Bot wird eine Menge von Verbindungen öffnen, um eine Menge von Webseiten herunterzuladen und dies zur selben Zeit vielfach tut. Wie bereits zuvor erwähnt, diese anspruchsvollen Attacken sind sehr einfach auszuführen, jeder kann eine Low Orbit Ion Canon von Sourgeforce herunterladen und eine HTTP-Anfragenflut an ein gewisses Ziel senden.

(ID:42285739)