Low & Slow DDoS bricht mit Klischees

Zutiefst im Irrtum befinden sich all jene, die noch immer meinen, zerstörerische DoS/DDoS-Attacken würden sich ausschließlich roher Gewalt bedienen und massiven Traffic generieren. Leistungsschwache und langsame DDoS-Attacken (in der Terminologie von Radware „Low & Slow“), die auf Anwendungsebene durchgeführt werden, sind nicht weniger mörderisch. Sie verwenden eine verborgene Taktik und können erheblichen Schaden anrichten, wobei die Angreifer nur ein Minimum an Ressourcen einsetzen. Derartige Angriffe aufzudecken und abzuwenden ist keine leichte Aufgabe. Der Radware-Experte Ronen Kenig versucht die mit Low & Slow zusammenhängenden Probleme verständlich zu erläutern, mit denen die Spezialisten für den Schutz vor DDoS-Angriffen zu kämpfen haben.

Leistungsschwache Attacken (low-rate)

Cyberkriminelle versuchen, ihr Ziel außer Gefecht zu setzen, allerdings ohne unnötige Aufmerksamkeit zu erregen. Meist bestehen solche Attacken im Aufrechterhalten offener Verbindungen mit dem Server. Den gewünschten Effekt ermöglichen weit verbreitete Methoden, wie etwa das Versenden unvollständiger http-Anfragen, kleiner Datenpakete oder keep-alive-Mitteilungen. Low-rate-Attacken wechseln sich häufig mit mächtigen Spitzen von Parasiten-Traffic ab, und solche Angriffe sind nicht nur schwer zu blockieren, sondern auch schwer zu erkennen.

Langsame Attacken (slow-rate)

Der im Zuge des Angriffs generierte Traffic, der auf die Erschöpfung der Ressourcen des Opfers ausgerichtet ist, entspricht den Anforderungen des Protokolls. Seine Geschwindigkeit ist nicht hoch, bewegt sich allerdings immer im Rahmen des Zugelassenen. Als Folge stufen traditionelle Schutzlösungen den Traffic als legitim ein, und seine wahre Natur lässt sich nur mit Hilfe einer Verhaltensanalyse erkennen, d.h. durch die Untersuchung des Netzes während des Normalbetriebs und einen Vergleich der Untersuchungsergebnisse mit den Werten, die während einer Slow-rate-Attacke erhalten wurden.

Werkzeuge

Im Gegensatz zu anderen Arten von DoS-Attacken, die das koordinierte Zusammenwirken von hunderten von Bots erforderlich machen, kann man eine Low & Slow-Attacke der Anwendungsebene mit einem einzigen Rechner durchführen – die für das Opfer einen letalen Ausgang nimmt. Cyberkriminelle automatisieren solche Angriffe mit Hilfe besonderer Tools und meist fällt ihre Wahl dabei auf R.U.D.Y oder Slowloris.

R.U.D.Y (R U Dead Yet?) erzeugt POST-Anfragen und ergänzt sie danach über einen langen Zeitraum – Byte für Byte -, wobei sich Perioden der Aktivität und Untätigkeit ablösen. Als Folge hängen sich alle Funktionsströme der angegriffenen Anwendung auf, oder sie sind mit der nicht enden wollende Verarbeitung der 1-Вyte-großen POST-Fragmente beschäftigt.

Der HTTP-Client Slowloris wird seinem Namen voll und ganz gerecht: Er ist langsam und gefräßig. Der Client hält offene Verbindungen mit dem angegriffenen Server aufrecht, indem er unvollständige HTTP-Anfragen verschickt. Daraufhin sendet der in vorgegebenen Zeitabständen Header, der Server schöpft sein ganzes Limit aus und ist für die Anwender nicht mehr erreichbar. Für eine erfolgreiche DDoS-Attacke reichen Slowloris einige hundert Anfragen aus, die in vorgegebenen Abständen über einen langen Zeitraum ausgegeben werden.

Schutz

Eine Attacke des Typs Low & Slow auf Anwendungsebene kann nur dann aufgedeckt werden, wenn Echtzeitergebnisse des System-Monitorings vorliegen, insbesondere Berichte über den Ressourcenverbrauch und die Ressourcenverteilung. Ein Schutz-Tool, das ein ununterbrochenes Monitoring durchführt und eine Bestandsaufnahme der Ressourcen unterstützt, kann eine solche Abweichung von der Norm problemlos erkennen, wie einen längeren „Ausfall“ offener Verbindungen oder den unvollendeten Prozess auf dem Anwendungsstapel, der schon längst abgeschlossen sein sollte.

Ein solches Monitoring-Schema kann z.B. mittels Integration von Schutzmechanismen auf dem Server umgesetzt werden. Eine andere Variante besteht darin, die Schutzlösung mit einer Funktonalität auszustatten, die eine Verhaltensanalyse der offenen Verbindungen auf dem Server ermöglicht und die Ressourcen des Stapelspeichers ohne direkte Verbindung zum Server emuliert. Mit einer korrekten Technologie zur Verhaltensanalyse kann der Missbrauch eines Netzes durch die Ressourcen einer Anwendung mit hoher Genauigkeit bestimmt werden. Nach der Identifizierung von verdächtiger Aktivität kann man diese bis zu ihrer Quelle zurückverfolgen und die entsprechenden Maßnahmen ergreifen.

Auf diese Weise, so schließt Kenig, widerlegen die Low & Slow-Methoden einige der hartnäckigsten Klischees über DDoS-Attacken. Obgleich Low & Slow-Attacken relativ simpel sind und nur einen minimalen Ressourceneinsatz erfordern, erlebt diese Angriffsart einen Aufschwung. Und der Schutz vor derartigen Attacken macht eine solide Sicherheits-Infrastruktur erforderlich, sowie ein Sonderteam von Spezialisten, die in der Lage sind, eine verborgene Angriffstaktik in Echtzeit zu erkennen.

QuelleRadware

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.