Application-Layer-DDoS-Angriffe zielen auf den Application Layer des Internets ab, um den normalen Datenverkehr zu einer Website oder einem Dienst zu stören.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
DDoS-Angriffe auf der Anwendungsebene oder auf Ebene 7 (L7) sind eine Art böswilliges Verhalten, das auf die oberste Ebene im OSI-Modell abzielt, wo häufige Internetanfragen wie HTTP GET und HTTP POST erfolgen. Diese Ebene-7-Angriffe sind im Gegensatz zu Angriffen auf der Netzwerkebene wie DNS Amplification besonders effektiv, weil sie zusätzlich zu Netwerkressourcen auch Serverressourcen verbrauchen.
Die zugrunde liegende Effektivität der meisten DDoS-Angriffe beruht auf dem Missverhältnis der Menge an Ressourcen, die nötig sind, um einen Angriff zu starten, im Vergleich zu der Menge an Ressourcen, die nötig sind, um einen Angriff abzufangen oder zu bekämpfen. Während das bei L7-Angriffen immer noch der Fall ist, ist für eine effektive Beeinträchtigung sowohl des Zielservers als auch des Netzwerks weniger Gesamtbandbreite erforderlich, um den gleichen störenden Effekt zu erzielen. Ein Application-Layer-Angriff richtet mehr Schaden mit weniger Gesamtbandbreite an.
Um zu untersuchen, warum das der Fall ist, wollen wir uns den Unterschied des relativen Ressourcenverbrauchs zwischen einem Client, der eine Anfrage stellt, und einem Server, der auf die Anfrage antwortet, ansehen. Wenn ein Benutzer bei der Anmeldung bei einem Online-Konto wie z. B. einem Gmail-Konto eine Anfrage sendet, sind die Menge an Daten und Ressourcen, die der Computer des Benutzers einsetzen muss, minimal und unverhältnismäßig gering im Vergleich zu den Ressourcen, die bei der Überprüfung der Anmeldeinformationen, beim Laden der relevanten Benutzerdaten aus einer Datenbank und dann beim Zurücksenden einer Antwort, die die angeforderte Webseite enthält, verbraucht werden.
Selbst, wenn keine Anmeldung erfolgt, muss ein Server, der eine Anfrage von einem Client erhält, oft Datenbankabfragen oder andere API-Aufrufe vornehmen, um eine Webseite zu produzieren. Wenn dieses Missverhältnis verstärkt wird, weil viele Geräte auf eine einzelne Website abzielen – z. B. während eines Botnetz-Angriffs – kann der Zielserver dadurch überlastet werden und legitimen Traffic ablehnen (Denial-of-Service). In vielen Fällen reicht es aus, mit einem L7-Angriff auf eine API abzuzielen, um den Dienst offline zu nehmen.
Es ist schwer, zwischen Angriffs-Traffic und normalem Traffic zu unterscheiden, insbesondere im Fall eines Angriffs auf Anwendungsebene, wenn z. B. ein Botnetz einen HTTP-Flood-Angriff gegen den Server eines Opfers ausführt. Da jeder Bot in einem Botnetz scheinbar rechtmäßige Netzwerkanfragen ausführt, ist der Traffic nicht gespooft und hat scheinbar „normalen“ Ursprung.
Angriffe auf der Anwendungsebene erfordern eine adaptive Strategie. Dazu gehört auch die Fähigkeit, Traffic auf der Grundlage spezieller Regelsätze einzuschränken, die regelmäßig fluktuieren können. Tools wie eine richtig konfigurierte WAF können die Menge an Bogus-Traffic abschwächen, der an einen Ursprungsserver weitergeleitet wird, wodurch die Auswirkungen des DDoS-Versuchs stark reduziert werden.
Bei anderen Angriffen wie SYN-Floods oder Reflection-Angriffen wie NTP Amplification können Strategien eingesetzt werden, um den Traffic ziemlich wirkungsvoll zu reduzieren, soweit das Netzwerk selbst über genügend Bandbreite dafür verfügt. Leider können die meisten Netzwerke keinen Amplification-Angriff von 300 Gbit/s absorbieren, und noch weniger Netzwerke können das Volumen von Anfragen auf der Anwendungsebene, die ein L7-Angriff erzeugen kann, richtig routen und übermitteln.
Eine Methode besteht darin, für das Gerät, das die Netzwerkanfrage ausführt, eine Prüfung zu implementieren, um zu testen, ob es sich um einen Bot handelt oder nicht. Dies geschieht durch einen Test, der dem CAPTCHA-Test sehr ähnlich ist, der oft bei der Online-Erstellung eines Kontos angetroffen wird. Durch Implementierung einer Anforderung wie einer JavaScript-Berechnungsprüfung können viele Angriffe bekämpft werden.
Andere Wege, um HTTP-Floods zu stoppen, bestehen darin, eine Web Application Firewall zu verwenden, Traffic über eine IP-Reputationsdatenbank zu verwalten und zu filtern und bei laufender Übertragung Netzwerkanalysen durch Techniker durchführen zu lassen.
Da Cloudflare mit Millionen von Benutzern in unserem Netzwerk einen deutlichen Größenordnungsvorteil hat, können wir Traffic aus einer Vielzahl von Quellen analysieren und so potentielle Angriffe mit kontinuierlich aktualisierten WAF-Regeln und anderen Strategien bekämpfen, bevor sie erfolgen oder die Möglichkeit haben, andere Ziele anzugreifen. Erkunden Sie Cloudflares erweiterte DDoS-Schutzdienste.