Was ist ein Low-and-Slow-Angriff?

Ein Low-and-Slow-Angriff ist ein DDoS-Angriff, der darauf abzielt, einen Webdienst mit extrem langsamem HTTP- oder TCP-Traffic zu stoppen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Einen Low-and-Slow-Angriff definieren
  • Den Ablauf eines Low-and-Slow-Angriffs beschreiben
  • Die Bekämpfungsmethoden für Low-and-Slow-Angriffe verstehen

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist ein Low-and-Slow-Angriff?

Ein Low-and-Slow-Angriff ist eine Art von DoS- oder DDoS-Angriff, der sich auf einen kleinen Strom sehr langsamen Traffics stützt, der auf Anwendungs- oder Serverressourcen abzielt. Im Gegensatz zu herkömmlichen Brute-Force-Angriffen benötigen Low-and-Slow-Angriffe nur sehr wenig Bandbreite und können schwer bekämpft werden, da sie Traffic erzeugen, der nur sehr schwer von normalem Traffic zu unterscheiden ist. Während groß angelegte DDoS-Angriffe wahrscheinlich schnell bemerkt werden, können Low-and-Slow-Attacken über lange Zeiträume unentdeckt bleiben, während der Dienst für echte Nutzer verweigert oder verlangsamt wird.

Da sie nicht viele Ressourcen benötigen, können Low-and-Slow-Angriffe von einem einzigen Computer aus erfolgreich durchgeführt werden, im Gegensatz zu verteilten Angriffen, für die ein Botnet erforderlich sein kann. Zwei der beliebtesten Tools für Low-and-Slow-Angriffe heißen Slowloris und R.U.D.Y.

Wie läuft ein Low-and-Slow-Angriff ab?

Low-and-Slow-Angriffe zielen auf thread-basierte Webserver ab, mit dem Ziel, jeden Thread mit langsamen Anfragen zu blockieren und echte Nutzer vom Zugriff auf den Dienst abzuhalten. Dies geschieht, indem Daten sehr langsam, aber gerade schnell genug übertragen werden, sodass der Server nicht ins Stocken gerät.

Stellen Sie sich eine 4-spurige Brücke mit einer Mautstelle für jede Fahrspur vor. Die Autofahrer fahren an die Mautstelle heran, übergeben einen Geldschein oder eine Handvoll Münzen und fahren dann über die Brücke, um die Fahrspur für den nächsten Fahrer freizugeben. Stellen Sie sich nun vor, dass vier Autofahrer auf einmal auftauchen und jede freie Spur besetzen, während sie dem Betreiber der Mautstelle langsam eine Münze nach der anderen aushändigen, so dass alle verfügbaren Spuren stundenlang verstopft sind und andere Autofahrer nicht mehr durchkommen. Dieses unglaublich frustrierende Szenario ähnelt der Funktionsweise eines Low-and-Slow-Angriffs.

Angreifer können HTTP-Kopfzeilen, HTTP-POST-Anfragen oder TCP-Traffic einsetzen, um Low-and-Slow-Angriffe auszuführen. Es folgen drei Beispiele für häufige Angriffe: Es folgen drei Beispiele für häufige Angriffe:

  • Das Slowloris-Tool verbindet sich mit einem Server und sendet dann langsam partielle HTTP-Kopfzeilen. Dadurch wird bewirkt, dass der Server die Verbindung offen hält, damit er den Rest der Kopfzeilen empfangen kann, und der Thread wird blockiert.
  • Ein anderes Tool mit der Bezeichnung R.U.D.Y. (R-U-DEAD-YET?) generiert HTTP-POST-Anfragen zum Ausfüllen von Formularfeldern. Es teilt den Servern mit, wie viele Daten sie erwarten können, sendet diese Daten dann aber sehr langsam. Der Server hält die Verbindung offen, weil er mehr Daten erwartet.
  • Noch ein anderer Low-and-Slow-Angriffstyp ist der Sockstress-Angriff, der ein Sicherheitsrisiko im TCP/IP-3-Weg-Handshake ausnutzt und eine unbefristete Verbindung erstellt.

Wie können Webdienste einen niedrigen und langsamen Angriff erkennen?

Die Techniken zur Erkennung von Datenraten, die verwendet werden, um herkömmliche DDoS-Angriffe zu identifizieren und anzuhalten, werden niedrige und langsame Angriffe nicht aufspüren, da sie wie normaler Traffic aussehen. Die beste Möglichkeit, sie zu erkennen, ist eine sorgfältige Überwachung und Protokollierung der Nutzung von Serverressourcen in Kombination mit einer Verhaltensanalyse. Vergleichen Sie den Traffic und das Verhalten der Nutzer zu normalen Zeiten mit dem Traffic und dem Verhalten der Nutzer während des potenziellen Angriffszeitraums.

Wenn Server langsam arbeiten oder sogar abstürzen und ein Low-and-Slow-Angriff in Frage kommt, ist ein Anzeichen für einen solchen Angriff, dass normale Benutzerprozesse viel länger dauern als gewöhnlich. Wenn eine Aktion des Nutzers (z. B. das Ausfüllen eines Formulars) normalerweise ein paar Sekunden dauert, aber stattdessen Minuten oder Stunden in Anspruch nimmt und damit weit mehr Serverressourcen als normal belegt, kann ein Low-and-Slow-Angriff die Ursache sein.

Sobald ein Low-and-Slow-Angriff entdeckt wird, ist die Bekämpfung ein anderes Thema.

Wie sich ein Low-and-Slow-Angriff anhalten lässt

Eine Möglichkeit, einen Low-and-Slow-Angriff zu bekämpfen, besteht darin, die Verfügbarkeit Ihres Servers zu erhöhen. Je mehr Verbindungen Ihr Server gleichzeitig aufrechterhalten kann, desto schwieriger wird es dem Angreifer fallen, Ihren Server zu blockieren. Das Problem bei diesem Ansatz ist, dass ein Angreifer versuchen kann, seinen Angriff so zu skalieren, dass er die Verfügbarkeit Ihres Servers erreicht.

Eine andere Lösung ist ein reverse-proxy-basierter Schutz, der Low-and-Slow-Angriffe bekämpft, bevor sie Ihren Ursprungsserver erreichen. Erfahren Sie, wie der cloudbasierte DDoS-Schutz von Cloudflare Low-and-Slow-Angriffe bekämpfen kann.