Application-Layer-DDoS-Angriff

Application-Layer-DDoS-Angriffe zielen auf den Application Layer des Internets ab, um den normalen Datenverkehr zu einer Website oder einem Dienst zu stören.

Share facebook icon linkedin icon twitter icon email icon

Application-Layer-Angriff

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Einen Application-Layer-(L7)-Angriff definieren
  • Mehr über die Vorgehensweise von Application-Layer-Angriffen lernen
  • Die Bekämpfung eines Application-Layer-Angriffs untersuchen

Was ist ein Application-Layer-DDoS-Angriff?

Application-Layer-Angriffe oder Layer-7-(L7)-DDoS-Angriffe beziehen sich auf eine Art böswilligen Verhaltens, das auf den „oberen“ Layer im OSI-Modell abzielt, wo häufige Internet-Anfragen wie HTTP GET und HTTP POST erfolgen. Diese Layer-7-Angriffe sind im Gegensatz zu Angriffen auf dem Netzwerk-Layer wie DNS Amplification besonders effektiv, weil sie zusätzlich zu Netwerkressourcen auch Serverressourcen verbrauchen.

Wie laufen Application-Layer-Angriffe ab?

Die zugrunde liegende Effektivität der meisten DDoS-Angriffe beruht auf dem Missverhältnis der Menge an Ressourcen, die nötig sind, um einen Angriff zu starten, im Vergleich zu der Menge an Ressourcen, die nötig sind, um einen Angriff abzufangen oder zu bekämpfen. Während das bei L7-Angriffen immer noch der Fall ist, ist für eine effektive Beeinträchtigung sowohl des Zielservers als auch des Netzwerks weniger Gesamtbandbreite erforderlich, um den gleichen störenden Effekt zu erzielen. Ein Application-Layer-Angriff richtet mehr Schaden mit weniger Gesamtbandbreite an.


Um zu untersuchen, warum das der Fall ist, wollen wir uns den Unterschied des relativen Ressourcenverbrauchs zwischen einem Client, der eine Anfrage stellt, und einem Server, der auf die Anfrage antwortet, ansehen. Wenn ein Benutzer bei der Anmeldung bei einem Online-Konto wie z. B. einem Gmail-Konto eine Anfrage sendet, sind die Menge an Daten und Ressourcen, die der Computer des Benutzers einsetzen muss, minimal und unverhältnismäßig gering im Vergleich zu den Ressourcen, die bei der Überprüfung der Anmeldeinformationen, beim Laden der relevanten Benutzerdaten aus einer Datenbank und dann beim Zurücksenden einer Antwort, die die angeforderte Webseite enthält, verbraucht werden.


Selbst, wenn keine Anmeldung erfolgt, muss ein Server, der eine Anfrage von einem Client erhält, oft Datenbankabfragen oder andere API-Aufrufe vornehmen, um eine Webseite zu produzieren. Wenn dieses Missverhältnis verstärkt wird, weil viele Geräte auf eine einzelne Website abzielen – z. B. während eines Botnetz-Angriffs – kann der Zielserver dadurch überlastet werden und legitimen Datenverkehr ablehnen (Denial-of-Service). In vielen Fällen reicht es aus, mit einem L7-Angriff auf eine API abzuzielen, um den Dienst offline zu nehmen.

Warum ist es so schwer, Application-Layer-DDoS-Angriffe zu stoppen?

Es ist schwer, zwischen Angriffs-Traffic und normalem Traffic zu unterscheiden, insbesondere im Fall eines Application-Layer-Angriffs, wenn z. B. ein Botnetz einen HTTP-Flood-Angriff gegen den Server eines Opfers ausführt. Da jeder Bot in einem Botnetz scheinbar rechtmäßige Netzwerkanfragen ausführt, ist der Traffic nicht gespooft und hat scheinbar „normalen“ Ursprung.


Application-Layer-Angriffe erfordern eine adaptive Strategie. Dazu gehört auch die Fähigkeit, Traffic auf der Grundlage spezieller Regelsätze einzuschränken, die regelmäßig fluktuieren können. Tools wie eine richtig konfigurierte WAF können die Menge an Bogus-Traffic abschwächen, der an einen Ursprungsserver weitergeleitet wird, wodurch die Auswirkungen des DDoS-Versuchs stark reduziert werden.


Bei anderen Angriffen wie SYN-Floods oder Reflection-Angriffen wie NTP Amplification können Strategien eingesetzt werden, um den Traffic ziemlich wirkungsvoll zu reduzieren, soweit das Netzwerk selbst über genügend Bandbreite dafür verfügt. Leider können die meisten Netzwerke keinen Amplification-Angriff von 300 Gbit/s absorbieren, und noch weniger Netzwerke können das Volumen von Application-Layer-Anfragen, die ein L7-Angriff erzeugen kann, richtig routen und übermitteln.

Welche Taktiken helfen bei der Bekämpfung von Application-Layer-Angriffen?

Eine Methode besteht darin, für das Gerät, das die Netzwerkanfrage ausführt, eine Prüfung zu implementieren, um zu testen, ob es sich um einen Bot handelt oder nicht. Dies geschieht durch einen Test, der dem CAPTCHA-Test sehr ähnlich ist, der oft bei der Online-Erstellung eines Kontos angetroffen wird. Wenn eine Anforderung wie eine JavaScript-Berechnungsprüfung aufgestellt wird, können viele Angriffe bekämpft werden.


Andere Wege, um HTTP-Floods zu stoppen, bestehen darin, eine Web Application Firewall zu verwenden, Traffic über eine IP-Reputationsdatenbank zu verwalten und zu filtern und bei laufender Übertragung Netzwerkanalysen durch Techniker durchführen zu lassen.


Da Cloudflare mit Millionen von Benutzern in unserem Netzwerk einen deutlichen Größenordnungsvorteil hat, können wir Traffic aus einer Vielzahl von Quellen analysieren und so potentielle Angriffe mit kontinuierlich aktualisierten WAF-Regeln und anderen Strategien oft bekämpfen, bevor sie erfolgen oder die Möglichkeit haben, andere Ziele anzugreifen. Erkunden Sie Cloudflares erweiterte DDoS-Schutzdienste.