Anwendungsspezifischer DDoS

Low-and-Slow-Angriffe, asymmetrische Angriffe, SlowHTTPTest, Slow Loris, POST- und GET-Floods


 

Vielen Dank für Ihre Übermittlung. Ihr Zugang wird in Kürze an Ihren Posteingang gesendet. Sollten Sie Probleme mit dem Zugang haben, senden Sie bitte eine E-Mail an thef5team@f5.com

Ist Ihre Website langsamer, als sie sein sollte?

Berichten Ihre Benutzer von häufigen Anmeldeproblemen, Timeouts bei der Suche oder unerklärlichen Datenbankfehlern? Dann sind Sie möglicherweise Opfer eines Distributed-Denial-of-Service-Angriffs auf Anwendungsebene (anwendungsspezifischer DDoS-Angriff) geworden. DDoS-Angriffe auf Anwendungsebene zählen seit zehn Jahren zu den schwerwiegendsten Problemen in der Informatik. Sie sind auch unter den Namen „Low and Slow“-Angriffe, „Layer 7 DOS“-Angriffe und asymmetrische Angriffe bekannt.

Mitbewerber nutzt DDoS für maskierte Scraping-Angriffe

Eine große Versicherungsgesellschaft mit mehr als 20 Millionen Kunden verlässt sich auf ihre Website, wenn es darum geht, Informationen über Anbieter, Leistungen und Tarife bereitzustellen. Ein Angreifer überschwemmte die Suchfunktion der Versicherung mehrere Tage lang mit Suchanfragen und brachte damit die Website zum Erliegen.

Die Experten von F5 Distributed Cloud beobachteten automatisierte Scraping-Aktivitäten auf niedriger Ebene, die mit dem Denial-of-Service-Angriff einhergingen, was darauf hindeutet, dass der DoS-Angriff ein Ablenkungsmanöver gewesen sein könnte.

Case Study: Versicherungsgesellschaft wehrt sich erfolgreich gegen DDoS auf Anwendungsebene

Eckpunkte:

  • Da die Leistungen der Versicherungsgesellschaft in hohem Maße personalisiert sind, stellt die Suche auf der Website eine wesentliche Funktion dar.
  • Der Angreifer nahm die Suchfunktion mithilfe eines einfachen Befehlszeilen-Tools so oft in Anspruch, bis sie versagte.
  • F5 Distributed Cloud konnte die anwendungsspezifischen DDoS-Angriffe abwehren und das Scraping des Mitbewerbers aufdecken.

20 Millionen


EINE GROSSE VERSICHERUNGSGESELLSCHAFT MIT MEHR ALS 20 MILLIONEN KUNDEN VERLÄSST SICH AUF IHRE WEBSITE, WENN ES DARUM GEHT, INFORMATIONEN ÜBER ANBIETER, LEISTUNGEN UND TARIFE BEREITZUSTELLEN.

Die Ausführung der anwendungsbasierten DDoS-Angriffe

Schritt 1

Der Angreifer, sei es ein Konkurrent, ein Erpresser oder ein Aktivist, kundschaftet Ihre Website mithilfe eines Spidering-Dienstes aus. Er geht dabei langsam vor und agiert über Tage oder Wochen hinweg, um nicht entdeckt zu werden. Er erstellt eine Liste von URLs mit den für die einzelnen Abfragen benötigten Zeiten und der Menge der ausgegebenen Daten.

Schritt 2

Der Angreifer ordnet die Liste nach der benötigten Antwortzeit oder der Dateigröße und stellt wiederholt Anfragen an die erste URL auf der Liste. Das macht er 100 Mal pro Sekunde oder öfter. Die Übermittlung seiner kleinen GET-Anfragen kostet ihn nichts, doch eine 5 Megabyte große PDF-Datei oder eine teure Datenbankabfrage, die 6000 Mal in der Minute gestartet wird, kann auf einer ungeschützten Website großen Schaden anrichten.

Schritt 3

Wenn das Abwehrsystem die Anfragen an das Zielobjekt blockiert, nimmt der Angreifer einfach die nächste URL auf seiner Liste ins Visier. Das Abwehrsystem weiß fast nie, welche URL das sein wird. Handelt es sich bei der URL um eine Datenbank, können die wiederholten Anfragen die gesamte Datenbank lahmlegen und den Betrieb zum Erliegen bringen.

Wie F5 Distributed Cloud anwendungsbasierte DDoS-Angriffe entschärft

Bei F5 Distributed Cloud haben wir schon fast jede erdenkliche Art von DDoS-Angriffen auf Anwendungsebene erlebt. Ein einfacher Angriff kann darin bestehen, dass Ihr Konkurrent Ihre Website zum Absturz bringt, indem er wiederholt Ihre langsamste Datenbanksuchfunktion aufruft. Bei einigen Einzelhändlern kann die zeitaufwändigste Suche etwa die Filialsuche sein. Bei anderen handelt es sich möglicherweise um eine nicht indizierte „Alle auswählen“-Abfrage. Da jede kleine Anfrage des Angreifers enorme Ressourcen auf Ihrer Website beanspruchen kann, muss der Angreifer keinen großen Angriff starten, sondern nur einen stetigen Strom kleiner GET-Anfragen initiieren. Solche „Low and Slow“-DDoS-Angriffe lösen keinen Bandbreiten-Alarm aus.

Die DDoS-Angreifer verlassen sich bei der Durchführung ihrer Angriffe auf Automatisierungslösungen wie Skripte, Programme und Botnets. Herkömmliche DDoS-Abwehrsysteme können diese Art von Angriffen in der Regel nicht erkennen, da die Angriffe fast immer über verschlüsselte SSL-Kanäle ausgeführt werden.

DDoS-Diagramm

Das obige Diagramm repräsentiert den vom F5 Distributed Cloud Protection Manager aufgezeichneten Datenverkehr und zeigt den auf die Website einer Versicherungsgesellschaft gerichteten Angriffsdatenverkehr. Rot kennzeichnet den Datenverkehr, der die Ursprungsserver erreicht, bevor F5 Distributed Cloud aktiviert wird. Grau zeigt den von F5 Distributed Cloud umgeleiteten Datenverkehr an, der die Ursprungsserver nicht erreicht. Das Diagramm veranschaulicht das typische Muster eines DDoS-Angriffs auf Anwendungsebene, der auch dann noch andauert, wenn F5 Distributed Cloud ihn bereits entschärft hat.

Bei F5 Distributed Cloud Security können wir Angriffe sehen und erkennen sie wie jede andere Automatisierung. Wir wissen, wann ein angreifender Client kein echter Browser ist, und wir bremsen seine Angriffe, leiten sie um oder entschärfen sie durch kontrolliertes Blockieren. Manchmal drehen wir den Spieß auch um, verlangsamen die Anfragen des Angreifers und machen ihn glauben, er habe sein Ziel erreicht, obwohl das gar nicht der Fall ist.

F5 Distributed Cloud ist darauf spezialisiert, Computer von Menschen zu unterscheiden, und anwendungsspezifische DDoS sind nur ein weiteres Symptom desselben Bot-Bedrohungsvektors, mit dem wir es wöchentlich milliardenfach zu tun haben.