NGINX App Protect Denial of Service blockiert DoS-Angriffe auf Anwendungsebene

Während die digitale Transformation das Geschäftspotenzial steigert, vergrößert sie leider auch die Bedrohungslandschaft. Während die Sicherheitsteams damit beschäftigt sind, sich auf den zunehmenden Umfang und die zunehmende Verantwortung einzustellen, machen sich Angreifer diese Situation zunutze und missbrauchen Anwendungen immer raffinierter, um sich finanziell zu bereichern. Im Vergleich zu herkömmlichen Denial-of-Service-Angriffen (DoS) auf Netzwerkebene nehmen DoS-Angriffe auf Anwendungsebene ( Schicht 7 ) stark zu. Dies liegt vor allem daran, dass sie herkömmliche Abwehrmaßnahmen umgehen können, die nicht für moderne Anwendungsarchitekturen ausgelegt sind.

Aus der Sicht von Angreifern bieten Layer-7-DoS-Angriffe zwei entscheidende Vorteile: Sie erzeugen mit minimalem Ressourceneinsatz beträchtliche Störungen und sind schwer zu erkennen. Mit ausgefeilten Werkzeugen und gezielten Anfragen bringen solche Angriffe Anwendungsserver und APIs so durcheinander, dass sie keine legitimen Anfragen mehr verarbeiten können. Überfluten wir Server mit mehr Anfragen als sie bewältigen können, lehnen sie legitime Anfragen ab, reagieren nicht mehr oder stürzen ab.

Herkömmliche Lösungen zur DoS-Minderung sind für moderne Apps nicht effektiv. Sie bieten statische, regelbasierte Sicherheit und erfordern kontinuierliche Wartung, um mit dem Tempo der Änderungen und Aktualisierungen in der modernen App-Landschaft Schritt zu halten.

Einführung von NGINX App Protect DoS

NGINX App Protect Denial of Service (DoS) ist ein neues leichtes dynamisches Modul für NGINX Plus, das moderne Anwendungen vor den raffiniertesten Anwendungs-DoS-Angriffen schützen soll. NGINX App Protect DoS mildert Angriffe, deren Ziel die Unterbrechung und Beschädigung von Anwendungen ist. Dadurch wird eine kontinuierliche Leistung und Umsatzgenerierung sichergestellt und die Kundentreue und Marke in einer hart umkämpften digitalen Welt bewahrt.

NGINX App Protect DoS kann in der Nähe von Anwendungen und Mikrodiensten auf jeder Plattform, Architektur oder Umgebung bereitgestellt werden, einschließlich Kubernetes-Clustern. Es skaliert zusammen mit der Anwendung und gewährleistet jederzeit eine hohe Sicherheitswirksamkeit.

Anwendungsfälle für die Bereitstellung

NGINX App Protect DoS kann an verschiedenen Standorten eingesetzt werden, um Anwendungsdienste zu schützen:

• Edge – Externe Load Balancer und Proxys
• Ingress Controller – Einstiegspunkt in Kubernetes
• Proxy pro Dienst – Interne Dienstproxyebene
• Per‑Pod‑Proxy – Im Pod eingebetteter Proxy
• API-Gateway – Einstiegspunkt in Microservices

Milderte Angriffsarten

NGINX App Protect DoS bietet Schutz vor mehreren komplexen Angriffsarten:

• GET- und POST- Flood-Angriffe – (sowohl HTTP als auch HTTPS) Der Angreifer versucht, den Server oder die API mit einer großen Anzahl von Anfragen zu überlasten, sodass er nicht mehr auf echte Benutzer reagieren kann.

• „Langsame“ Angriffe – (sowohl HTTP als auch HTTPS) „Slow-and-Low“-Angriffe beanspruchen Serverressourcen, sodass keine für die Bearbeitung von Anfragen echter Nutzer verfügbar bleiben. Zwei Gründe erschweren Ihre Abwehr:

  • Im Gegensatz zu DDoS-Angriffen über Netzwerke nutzen sie keine großen Bandbreiten und sind daher nur schwer vom normalen Datenverkehr zu unterscheiden.
  • Sie benötigen kaum Serverressourcen, sodass Sie mit ausgefeilter intelligenter Automatisierung Tausende von Anfragen über einen einzigen Computer senden können.

  Es gibt drei Haupttypen langsamer Angriffe:

  • Slowloris – Der Angreifer stellt eine Verbindung zum Server her und sendet in langsamem Tempo teilweise Anforderungsheader. Der Server hält die Verbindung offen, während er auf den Rest der Header wartet, wodurch der Pool der für tatsächliche Benutzer verfügbaren Verbindungen erschöpft wird.
  • Langsames Lesen – Der Angreifer sendet eine korrekt formulierte HTTP-Anfrage, liest die Antwort aber sehr langsam oder gar nicht. So verbrauchen wir Serverressourcen, was verhindert, dass legitime Anfragen bearbeitet werden.
  • Langsames POST – Der Angreifer sendet legitime HTTP- POST- Header an den Server, einschließlich der korrekten Angabe der Größe des folgenden Nachrichtentexts. Der Nachrichtentext wird dann sehr langsam gesendet. Da die Nachricht gültig zu sein scheint, hält der Server die Verbindung offen und wartet auf das Eintreffen des vollständigen Nachrichtentexts. Eine große Anzahl langsamer POST- Angriffe erschöpft den für tatsächliche Benutzer verfügbaren Verbindungspool.

• Verteilte Varianten der vorhergehenden Angriffe – Durch die Einbindung mehrerer Computer ist es offensichtlich einfacher, eine größere Zahl gleichzeitiger Angriffe auszuführen. Darüber hinaus kann das Datenverkehrsaufkommen jedes Computers relativ gering sein, sodass er einem normalen Benutzer ähnelt. Außerdem können Computer aus dem Angriffspool ausscheiden und dann wieder beitreten, wodurch der Satz der Quell-IP-Adressen einem ständigen Wandel unterliegt. Aufgrund dieser Datenverkehrsmerkmale sind herkömmliche Abwehrmaßnahmen wie Ratenbegrenzung und Geoblocking weniger wirksam.

• Challenge-Collapsar-Angriff/zufällige URIs – Bei einem Challenge-Collapsar-Angriff (CC) sendet der Angreifer häufige, scheinbar normale Anfragen, deren URIs jedoch komplizierte und somit zeitintensive Algorithmen oder Datenbankabfragen auslösen, die Serverressourcen stark belasten. Der Angreifer kann URIs und weitere HTTP-Parameter so variieren, dass herkömmliche Schutzmechanismen wie statische Regeln wirkungslos bleiben. NGINX App Protect DoS nutzt dagegen fortschrittliche Machine-Learning-Algorithmen, die deutlich effektiver sind und Fehlalarme minimieren.

​

• Sich hinter NAT verstecken – Der Angreifer verwendet Verschlüsselung oder Network Address Translation (NAT), um einer Erkennung zu entgehen. Der Versuch, Angriffe durch die alleinige Verfolgung der Quell-IP-Adresse zu erkennen, ist wirkungslos, da dabei alle NAT-Benutzer als Angreifer behandelt werden, selbst wenn nur ein Benutzer angreift.

  NGINX App Protect DoS verwendet Fingerprinting für IPv4, um böswillige Akteure hinter NAT genau zu erkennen. Da der Großteil des Datenverkehrs mit SSL/TLS verschlüsselt ist, ist es möglich, den Schlüssel zur Identifizierung eines Akteurs von einer bloßen IP-Adresse auf eine Kombination aus IP-Adresse und TLS-Fingerabdruck zu erweitern (der Fingerabdruck basiert auf der TLS-Hello-Nachricht).

• Gezielte SSL/TLS-Angriffe – Der Angreifer missbraucht das SSL/TLS-Handshake-Protokoll. Ein beliebter Ansatz besteht darin, Datenmüll an den SSL/TLS-Zielserver zu senden. Die Verarbeitung einer ungültigen Nachricht ist rechenintensiv und ebenso aufwändig wie die einer gültigen Nachricht, allerdings ohne ein brauchbares Ergebnis. Die meisten Firewalls helfen in diesem Fall nicht, da sie nicht zwischen gültigen und ungültigen SSL/TLS-Handshake-Paketen unterscheiden können und die Implementierung einer Entschlüsselung auf einer Firewall unerschwinglich ist.

  NGINX App Protect DoS verwendet einen SSL/TLS-Signaturmechanismus, um eine anomaliebasierte Erkennung und Minderung basierend auf der CLIENT HELLO-Nachricht bereitzustellen, die unverschlüsselt ist und früh im SSL/TLS-Handshake-Prozess übergeben wird, wodurch die hohen Kosten der Entschlüsselung entfallen. Darüber hinaus ermöglicht die Verwendung von SSL/TLS-Signaturen zusammen mit einem Mechanismus zur Überwachung der Serverintegrität Schutz vor und Minderung von DoS-Angriffen ohne SSL/TLS-Terminierung.

Zusammenfassung

Immer häufiger zielen DoS-Angriffe auf Anwendungen statt auf das Netzwerk. Da viele dieser Layer-7-DoS-Angriffe wie legitimer Datenverkehr aussehen, können herkömmliche WAF-Abwehrmaßnahmen sie nicht wirksam erkennen.

Darüber hinaus nutzen Angreifer weiterhin neue Technologien wie maschinelles Lernen und künstliche Intelligenz, um Layer-7-DoS-Angriffe zu starten, wodurch einfache Regeln und statische Signaturen weniger effektiv werden. Auch die DoS-Minderung auf Layer 7 muss sich weiterentwickeln und NGINX App Protect DoS bringt mit adaptiven und dynamischen Abwehrmaßnahmen die richtige Technologie zum Einsatz.

Wenn Sie mehr darüber erfahren möchten, wie Sie DoS-Schutz gewährleisten können, sehen Sie sich unsere Lösungsübersicht an. Siehe auch diese verwandten Blogs:

• Schutz von Anwendungen vor komplexen und modernen Angriffen
• So passt sich NGINX App Protect Denial of Service an die sich entwickelnde Angriffslandschaft an

Probieren Sie NGINX App Protect DoS selbst aus – starten Sie noch heute eine kostenlose 30-Tage-Testversion oder kontaktieren Sie uns, um Ihre Anwendungsfälle zu besprechen .