HTTP-Flood-Angriff

Ein HTTP-Flood-Angriff ist ein Typ eines volumetrischen verteilten Denial-of-Service-(DDoS)-Angriffs, der darauf abzielt, einen angegriffenen Server mit HTTP-Anfragen zu überfluten.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Einen HTTP-Flood-DDoS-Angriff definieren
  • Die Ablaufweise einer HTTP-Flood erklären
  • Möglichkeiten zur Bekämpfung eines HTTP-Flood-Angriffs darstellen

Link zum Artikel kopieren

Was ist ein HTTP-Flood-DDoS-Angriff?

Ein HTTP-Flood-Angriff ist ein Typ eines volumetrischen Distributed Denial-of-Service-(DDoS)-Angriffs, der darauf abzielt, einen angegriffenen Server mit HTTP-Anfragen zu überfluten. Sobald das Ziel mit Anfragen gesättigt ist und nicht mehr auf normalen Traffic antworten kann, erfolgt ein Denial-of-Service für weitere Anfragen von echten Benutzern.

Wie läuft ein HTTP-Flood-Angriff ab?

Bei HTTP-Flood-Angriffen handelt es sich um einen „Ebene 7“-DDoS-Angriffstyp. Die Ebene 7 ist die Anwendungsebene des OSI-Modells und bezieht sich auf Internetprotokolle wie HTTP. HTTP ist die Grundlage von browserbasierten Internetanfragen und wird allgemein eingesetzt, um Webseiten zu laden oder Inhalte über das Internet zu senden. Die Bekämpfung von Angriffen auf der Anwendungsebene ist besonders komplex, da der böswillige Traffic schwer von normalem Traffic zu unterscheiden ist.

Um maximale Effizienz zu erreichen, verwenden oder erstellen böswillige Akteure häufig Botnetze, um die Auswirkungen ihres Angriffs zu maximieren. Durch Einsatz vieler mit Malware infizierter Geräte kann ein Angreifer ein größeres Volumen an Angriffs-Traffic erzeugen und somit die Wirkung verstärken.

Es gibt zwei Varianten von HTTP-Flood-Angriffen:

  1. HTTP-GET-Angriff: Bei diesem Angriffstyp werden mehrere Computer oder andere Geräte koordiniert, um vielfache Anfragen nach Bildern, Dateien oder anderen Ressourcen an einen angegriffenen Server zu senden. Wenn das Ziel mit eintreffenden Anfragen und Antworten überflutet ist, erfolgt ein Denial-of-Service für weitere Anfragen von legitimen Traffic-Quellen.
  2. HTTP-POST-Angriff: Wenn ein Formular auf einer Website eingereicht wird, muss der Server gewöhnlich die eintreffende Anfrage bearbeiten und die Daten in eine Speicherebene verschieben – meistens in eine Datenbank. Der Vorgang zur Behandlung der Formulardaten und Ausführung der nötigen Datenbankbefehle ist relativ intensiv im Vergleich zum erforderlichen Umfang der Verarbeitungsleistung und Bandbreite, die zum Senden der POST-Anfrage erforderlich sind. Dieser Angriff nutzt das Missverhältnis beim relativen Ressourcenverbrauch aus, indem viele POST-Anfragen direkt an einen Zielserver gesendet werden, bis seine Kapazität gesättigt ist und ein Denial-of-Service erfolgt.

Wie kann eine HTTP-Flood bekämpft werden?

Wie bereits erwähnt, ist die Bekämpfung von Ebene-7-Angriffen komplex und oft vielschichtig. Eine Methode besteht darin, eine Prüfung für den anfragenden Computer zu implementieren, um zu testen, ob es sich um einen Bot handelt oder nicht. Dieser Vorgang ist dem CAPTCHA-Test sehr ähnlich, der oft bei der Online-Erstellung eines Kontos angetroffen wird. Durch Implementierung einer Anforderung wie einer JavaScript-Berechnungsprüfung können viele Angriffe bekämpft werden.

Andere Wege, um HTTP-Floods zu stoppen, bestehen darin, eine Web Application Firewall (WAF) einzusetzen, eine IP-Reputationsdatenbank zur Verfolgung und selektiven Blockierung von böswilligem Traffic zu verwalten und bei laufender Übertragung Netzwerkanalysen von Technikern durchführen zu lassen. Dank eines Größenordnungsvorteils von über 20 Millionen Internetwebsites hat Cloudflare die Möglichkeit, Datenverkehr von einer Vielzahl von Quellen zu analysieren und potentielle Angriffe mit schnell aktualisierten WAF-Regeln und anderen Strategien zu bekämpfen, um DDoS-Traffic auf der Anwendungsebene zu eliminieren.

DDoS-Schutz von Cloudflare