Distributed Denial of Service-Attacken auf Layer 7

DDoS-Angriffe werden intelligenter

| Autor / Redakteur: Michael Matzer / Peter Schmitz

Mit einfachen Tools und Bots lassen sich leicht Tausende von Anfragen z.B. an Shopsysteme schicken und diese so für normale Nutzer lahmlegen. Bei der Abwehr muss man darauf achten, dass man legitime Kunden nicht versehentlich aussperrt.
Mit einfachen Tools und Bots lassen sich leicht Tausende von Anfragen z.B. an Shopsysteme schicken und diese so für normale Nutzer lahmlegen. Bei der Abwehr muss man darauf achten, dass man legitime Kunden nicht versehentlich aussperrt. (Bild: Markus Haack - Fotolia.com)

Distributed Denial of Service (DDoS)-Attacken nehmen stark zu und steigern ihre Gefährlichkeit. Statt die Netzwerk-Infrastruktur in Layer 3 und 4 anzugreifen und so Server und Komponenten lahmzulegen, zielen die von Botnetzen gestützten Angreifer inzwischen auf die Applikationsebene (Layer 7).

Neben dem Content-Spezialisten Akamai (Sec-insider berichtetete ca. 22.4.14) hat auch der Sicherheitsspezialist Imperva ((http:www.imperva.com)) einen Report über den Anstieg und den Wandel von Distributed Denial of Service-Attacken (DDoS) veröffentlicht. Diese Studie hat Impervas Tochter Incapsula, ein DDoS-Abwehrservice, angefertigt und am 2. April 2014 veröffentlicht (pdf).

Die gewohnten SYN-Flood-Angriffe machten im Jahr 2013 mit 51,5% nach wie vor den Löwenanteil an allen groß angelegten DDoS-Angriffen aus. Fast jede von drei Attacken hat ein Volumen von über 20 Gbps.

Vier von fünf Angriffen (81%) bestehen aus mehreren Komponenten gleichzeitig, vor allem aus Normal SYN-Flood und Large SYN Flood (75%). Im Februar 2014 war die verbreitetste Methode für Großangriffe NTP-Reflection (NTP: Network Time Protocol).

Multi-Vektor-Angriffe erhöhen die Erfolgschancen des Angreifers, so etwa indem sie an Punkt A einen Angriff vortäuschen, der die Ressourcen des Verteidigers vom eigentlichen Ziel, Punkt B, abzieht. Sie klopfen zudem Strukturen des Verteidigers auf Schwachstellen ab, die später ausgenützt werden können. Das ist ein Zeichen, dass sich die Angreifer mit den Maßnahmen der Verteidiger bestens auskennen.

So gefährlich und erfolgreich sind DDoS-Angriffe

Anatomie eines DDoS-Angriffs - Teil 1

So gefährlich und erfolgreich sind DDoS-Angriffe

15.08.13 - Distributed-Denial-of-Service (DDoS) Angriffe sind nicht neu, aber werden in letzter Zeit immer mehr und immer wirkungsvoller, denn der Ausfall von Servern und Diensten kostet Unternehmen inzwischen schnell viel Geld. lesen

Die DDoS-Bandbreiten, die mit den Methoden Large SYN Flood, NTP Amplification und DNS Amplification auf die Ziele treffen, haben sich binnen einen Jahres von 4 Gbps auf bis zu 100 Gbps gesteigert, einmal sogar auf 180 Gbps. Schon heute machen Angriffe mit Volumina von 10 Gbps und mehr nahezu 33% aller Netzwer-DDoS-Ereignisse aus, berichtet Incapsula.

Das sind Volumina, für die selbst die Netze so manchen Carriers nicht ausgelegt sind. Interoute ((http://www.interoute.com)) beispielsweise, ein bedeutender Netzbetreiber in Europa, der schon die Europameisterschaft 2012 vor einer DDoS-Attacke schützte, bohrt gerade seine Netzwerkkapazität von 40 Gbps auf 100 Gbps auf. Dies berichtete Markus Dietrich, Sales Engineer Hosting bei Interoute, gegenüber Security-insider.de.

DDoS auf Applikationsebene

Eine stärkere Bedrohung könnten DDoS-Attacken auf der Applikationsebene (Layer 7) werden. Obwohl sie heute noch in knapp 70% aller Fälle relativ primitiv seien, so Imperva, so könnte doch so mancher Bot bereits einer Anwendung vorspiegeln, er sei ein legitimer Browser oder gar ein Mensch (knapp 30%). Er akzeptiert und bewahrt Cookies und kann JavaScript (0,8%) ausführen und so zwei verbreitete Filter austricksen. 46% aller gefälschten User-Agenten sind gefälschte Baidu-Bots, während nur 11,7% aller Googlebots gefälscht sind. Diese Bots tarnen sich als legitime Nutzer.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42738606 / Monitoring und KI)