Layer-7-Angriffe sind die neue Normalität

Sie sind hier: Das Magazin für alle IT-Security-Themen » Markt » Tipps & Hinweise

Sieben Arten von DDoS-Angriffen auf Anwendungsebene, auf die man achten sollte

Angesichts der Agilität, die finanziell gut ausgestattete Hacker heute erreichen können, reichen menschliche Diagnose und Mitigation nach Angaben nicht mehr aus

Seit sich die Abwehrmechanismen an einfache volumetrische DDoS-Angriffe angepasst haben und die meisten ISPs und Anbieter von Public Clouds in der Lage sind, einen grundlegenden Schutz gegen Floods auf der Netzwerkschicht zu bieten, verlegen sich Angreifer nach Angaben der Sicherheitsexperten von Radware zunehmend auf Angriffe auf die Anwendungen selbst.

DDoS-Angriffe auf der Anwendungsebene (Layer 7) stellen laut Radware eine einzigartige Herausforderung für die DDoS-Abwehr dar, da sie einen Einblick in das Anwendungsverhalten erfordern und es schwierig ist, allein anhand des Datenverkehrs auf der Netzwerkschicht zu erkennen, ob eine Anfrage legitim oder böswillig ist. Da zudem immer mehr Web-Verkehr mit SSL und HTTPS verschlüsselt wird, ist die DDoS-Abwehr häufig nicht in der Lage, den Inhalt des Pakets selbst einzusehen. Infolgedessen sind viele Arten von DDoS-Abwehrmaßnahmen nicht in der Lage, zwischen einer legitimen Spitze im Kundenverkehr (z. B. während einer Flash-Crowd oder einer Urlaubsspitze) und einem tatsächlichen Angriff zu unterscheiden.

Radware nennt insbesondere sieben Arten von DDoS-Angriffen auf Anwendungsebene, auf die man achten sollte:

HTTP/S Flood

HTTP Floods funktionieren, indem große Mengen von HTTP-Anfragen auf eine Webseite geleitet werden, um die Zielserver mit Anfragen zu überlasten. In dieser Hinsicht ähnelt diese Art von Angriff Floods auf Netzwerkebene, mit der Ausnahme, dass dieser Angriff auf der Anwendungsebene stattfindet und große Mengen von HTTP/S-GET- oder HTTP/S-POST-Anfragen verwendet.

Da der Großteil des Internet-Verkehrs heutzutage jedoch verschlüsselt ist, handelt es sich bei den meisten HTTP-Flooding-Angriffen heutzutage tatsächlich um HTTPS-Floods. Verschlüsselte Floods sind nicht nur wegen der hohen Menge an Server-Ressourcen, die zu ihrer Bewältigung benötigt werden, viel wirksamer, sondern fügen auch eine Ebene der Komplexität hinzu: Die DDoS-Abwehr kann in der Regel den Inhalt der HTTPS-Anforderungen nicht überprüfen, ohne den gesamten Datenverkehr vollständig zu entschlüsseln.

SSL Negotiation/Garbage Flood

Eine SSL Garbage Flood zielt speziell auf den SSL-Handshake-Mechanismus von Web-Anwendungen, um Server-Ressourcen zu überlasten. Der SSL/TLS-Handshake-Mechanismus ist ein hochgradig asymmetrischer Prozess, der bis zu 15 Mal mehr Rechenressourcen vom eingehenden Server als vom anfragenden Client erfordert. Das bedeutet, dass Angreifer mit nur wenigen Anfragen verheerende DDoS-Angriffe starten können.

Solche Angriffe funktionieren, indem sie eine große Anzahl von "Müll"-Anforderungen zur Initiierung von SSL/TLS-Verbindungen senden, um die Ressourcen zu überlasten und die Fähigkeit des Servers, neue Verbindungen anzunehmen, einschränken. Auch HTTPS Floods machen sich diesen Mechanismus zunutze, es gibt aber auch andere Varianten wie verschlüsselte SYN Floods oder SSL-Re-Negotiation, bei denen SSL-Handshakes kontinuierlich initiiert, abgebrochen und dann neu erstellt werden.

Low and Slow

Wie Flood-Attacken zielen Low- und Slow-Angriffe darauf ab, Zielserver durch Überlastung der Server-Ressourcen auszuschalten. Im Gegensatz zu Flood-Angriffen geschieht dies bei Low-and-Slow-Angriffen jedoch nicht durch das Versenden großer Datenmengen, sondern vielmehr durch den umgekehrten Ansatz, bei dem eine kleine Anzahl von Verbindungen gesendet wird, die jedoch so lange wie möglich offen bleiben, bis die Ressourcen des Zielservers erschöpft sind.

Durch diesen Ansatz können Low-and-Slow-Angriffe unter dem Radar der traditionellen DDoS-Verteidigung auf der Grundlage von Schwellenwerten fliegen, da sie keine großen Spitzen im Datenverkehr verursachen, die durch Ratenbeschränkungen begrenzt werden können.

Es gibt zahlreiche Varianten dieses Ansatzes, die gewöhnlich nach den Hacking-Tools benannt sind, die sie verwenden. Eine häufige Angriffsvariante ist Slowloris, das HTTP-Anfragen offen hält, indem es ständig unvollständige HTTP-Header sendet, die Anfrage aber nie abschließt. Eine andere bekannte Variante ist R.U.D.Y. ("R U Dead Yet?"), die HTTP-POST-Verbindungen mit dem Server herstellt, aber das Senden von POST-Daten so lange wie möglich vermeidet und dann die Daten sehr langsam sendet, wodurch die Fähigkeit des Servers, neue Verbindungen anzunehmen, eingeschränkt wird.

HTTP/S Bombing

Eine "HTTP-Bombe" verwendet die HTTP-POST-Methode, um große, komplexe POST-Anforderungen zu senden (normalerweise als XML-Datenstruktur skriptiert), die der Zielserver dann zu parsen versucht. Aufgrund der Größe und Komplexität der POST-Anforderung (d.h. der "Bombe") wird der Server am Ende jedoch große Mengen an Rechenressourcen verbrauchen, die letztendlich erschöpft sind und den Server zum Absturz bringen. Dies kann ein besonders schwer zu verteidigender Angriff sein, da er eine hohe Anzahl von Serverressourcen mit einer begrenzten Anzahl von Verbindungen nutzen kann.

Outbound Pipe Saturation Attack

Im Gegensatz zu den meisten DDoS-Angriffen zielt dieser Angriffsvektor nicht auf die eingehende Traffic-Pipe des Servers, sondern vielmehr auf die Sättigung der ausgehenden Traffic-Verbindung.

Viele webbasierte Dienste ermöglichen das Herunterladen großer Dateien wie Software-Updates, Betriebssystem-Images, Datenbanken, Anwendungsdaten usw. Selbst moderne Webseiten können sehr groß sein, wenn sie große Grafiken und andere Objekte enthalten. Angriffe auf das Herunterladen großer Dateien zielen darauf ab, die Fähigkeit des Servers zur externen Kommunikation auszuschöpfen, indem die ausgehende Verbindung mit großen Mengen ausgehender Daten gesättigt wird.

Dies kann eine sehr effektive Art des asymmetrischen Angriffs sein, da die Anfrage nur wenige Bytes umfasst, während die Antwort Gigabytes groß sein kann. Darüber hinaus können Angriffe auf die Sättigung der ausgehenden Pipe sehr schwer zu erkennen und abzuschwächen sein, da die meisten DDoS-Abwehrmaßnahmen nur auf den eingehenden, nicht aber auf den ausgehenden Datenverkehr ausgerichtet sind.

Bruteforce-Angriff

Obwohl nicht ausdrücklich als solche bezeichnet, tragen viele Arten von Angriffen auf Webanwendungen auch die Merkmale einer DDoS Flood. Dies liegt daran, dass Bruteforce-Angriffe auf Anwendungen häufig mit hohen Rate arbeiten und große Mengen an Fehlermeldungen auf Anwendungsebene erzeugen, die vom Server verarbeitet und bearbeitet werden müssen.

Beispiele für solche Bruteforce-Versuche sind das Scannen von Servern, das Knacken von Passwörtern, das Ausfüllen von Zugangsdaten und vieles mehr. Die Herausforderung beim Umgang mit solchen Arten von Bruteforce-Angriffen besteht darin, dass es ohne vorherige Verarbeitung der Anfrage normalerweise sehr schwierig ist, zu wissen, welche Anfrage legitim ist und welche nicht.

Denial of Inventory

Diese Art des Angriffs auf der Anwendungsebene ist an sich kein DDoS-Angriff, aber er erreicht dieselben Ziele, indem er die Fähigkeit des Unternehmens, seine Kunden zu bedienen, zunichte macht. Denial-of-Inventory-Angriffe verwenden automatisierte Bots, um in die Anwendungen des Unternehmens einzudringen und Kaufanfragen zu initiieren, ohne den Kauf tatsächlich abzuschließen. Infolgedessen wird der Bestand, der sich auf die Kaufanfrage bezieht - wie z.B. Flugtickets, Veranstaltungstickets, Lagerbestand usw. - vorübergehend gesperrt und ist für tatsächliche Kunden, die denselben Bestand kaufen möchten, nicht verfügbar.

Obwohl diese Art von Angriff nicht auf die Traffic-Pipe oder die Server-Ressourcen selbst abzielt, erzielt er dasselbe Ergebnis, indem er legitimen Kunden den Service verweigert. Auch dies ist eine besonders schwer abzuschwächende Form des Angriffs, da es schwierig ist, einen tatsächlich zahlenden Kunden von einem Bot zu unterscheiden.

"Angesichts der Agilität, die finanziell gut ausgestattete Hacker heute erreichen können, reichen menschliche Diagnose und Mitigation nach Angaben nicht mehr aus", so Michael Tullius, Managing Director DACH bei Radware. "Sie erfordert Anti-DDoS-Lösungen, die maschinelles Lernen mit negativen und positiven Sicherheitsmodellen kombinieren." Herkömmliche DDoS-Lösungen verwenden die Limitierung von Datenraten und manuelle Signaturerstellung, was zu einer erheblichen Anzahl von False Positives führt und neue Angriffsvektoren deutlich zu spät identifiziert. (Radware: ra)

eingetragen: 30.10.20
Newsletterlauf: 27.10.20

Radware: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Meldungen: Tipps & Hinweise

Tipps & Hinweise

In drei Schritten zu mehr Cyber-Resilienz

Cyber-Kriminalität ist ein globales Problem. Die Zahl der Angriffe nimmt stetig zu, und gleichzeitig gehen die Hacker immer raffinierter vor. Um Bedrohungen jeglicher Art wirksam abwehren zu können, müssen Unternehmen ihre Cyber-Resilienz verbessern. Dell Technologies erklärt, welche drei Schritte dafür entscheidend sind.

Fremde nicht auf den Rechner zugreifen lassen

Immer wieder kommt es zu den verschiedensten Betrugsversuchen per Telefon. Von Schockanrufen (siehe Enkeltrick), über aufgedrängte Vertragsabschlüsse bis zu vermeintlichen "Serviceanrufen". Häufig geht es den Kriminellen darum, an sensible Informationen wie die Bankverbindung zu kommen "Ihr Konto wurde aus Sicherheitsgründen geblockt." Oder: "Es gibt ein Problem mit Ihrem Computer."

Lateral Movement verstehen und erkennen

Bedrohungsakteure verschaffen sich durch Phishing oder die Ausnutzung von ungepatchten Schwachstellen Zugang zu einer Unternehmensanwendung, nehmen nach diesem "Initial Access" die Identität eines legitimen Users an und dringen immer tiefer in verschiedenste Teile des Netzwerkwerks ein. Dort können sie Daten exfiltrieren, Systeme und Datenbanken lahmlegen und manipulieren oder andere Angriffe durchführen.

Krypto-Strategie im Zeitalter von Quanten-Computern

Kryptografie ist seit geraumer Zeit eines der besten Mittel, um digitale Informationen vor unberechtigtem Zugriff zu schützen – beispielsweise, um gesetzliche Bestimmungen wie die DSGVO oder branchenbezogene Regeln einzuhalten. Es geht aber auch um den Schutz vertraulicher Daten vor Diebstahl durch Cyberkriminelle.

Besuchen Sie SaaS-Magazin.de

SaaS, On demand, ASP, Cloud Computing, Outsourcing >>>

Kostenloser Newsletter

Werktäglich informiert mit IT SecCity.de, Compliance-Magazin.de und SaaS-Magazin.de. Mit einem Newsletter Zugriff auf drei Online-Magazine. Bestellen Sie hier

Fachartikel

Grundlagen

Big Data bringt neue Herausforderungen mit sich

Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.

Bösartige E-Mail- und Social-Engineering-Angriffe

Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.

Zertifikat ist allerdings nicht gleich Zertifikat

Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

Datensicherheit und -kontrolle mit CASBs

Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

KI: Neue Spielregeln für IT-Sicherheit

Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

DDoS-Angriffe nehmen weiter Fahrt auf

DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

Fluch und Segen des Darkwebs

Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.