News

Low & Slow DDoS bricht mit Klischees

Zutiefst im Irrtum befinden sich all jene, die noch immer meinen, zerstörerische DoS/DDoS-Attacken würden sich ausschließlich roher Gewalt bedienen und massiven Traffic generieren. Leistungsschwache und langsame DDoS-Attacken (in der Terminologie von Radware „Low & Slow“), die auf Anwendungsebene durchgeführt werden, sind nicht weniger mörderisch. Sie verwenden eine verborgene Taktik und können erheblichen Schaden anrichten, wobei die Angreifer nur ein Minimum an Ressourcen einsetzen. Derartige Angriffe aufzudecken und abzuwenden ist keine leichte Aufgabe. Der Radware-Experte Ronen Kenig versucht die mit Low & Slow zusammenhängenden Probleme verständlich zu erläutern, mit denen die Spezialisten für den Schutz vor DDoS-Angriffen zu kämpfen haben.

Leistungsschwache Attacken (low-rate)

Cyberkriminelle versuchen, ihr Ziel außer Gefecht zu setzen, allerdings ohne unnötige Aufmerksamkeit zu erregen. Meist bestehen solche Attacken im Aufrechterhalten offener Verbindungen mit dem Server. Den gewünschten Effekt ermöglichen weit verbreitete Methoden, wie etwa das Versenden unvollständiger http-Anfragen, kleiner Datenpakete oder keep-alive-Mitteilungen. Low-rate-Attacken wechseln sich häufig mit mächtigen Spitzen von Parasiten-Traffic ab, und solche Angriffe sind nicht nur schwer zu blockieren, sondern auch schwer zu erkennen.

Langsame Attacken (slow-rate)

Der im Zuge des Angriffs generierte Traffic, der auf die Erschöpfung der Ressourcen des Opfers ausgerichtet ist, entspricht den Anforderungen des Protokolls. Seine Geschwindigkeit ist nicht hoch, bewegt sich allerdings immer im Rahmen des Zugelassenen. Als Folge stufen traditionelle Schutzlösungen den Traffic als legitim ein, und seine wahre Natur lässt sich nur mit Hilfe einer Verhaltensanalyse erkennen, d.h. durch die Untersuchung des Netzes während des Normalbetriebs und einen Vergleich der Untersuchungsergebnisse mit den Werten, die während einer Slow-rate-Attacke erhalten wurden.

Werkzeuge

Im Gegensatz zu anderen Arten von DoS-Attacken, die das koordinierte Zusammenwirken von hunderten von Bots erforderlich machen, kann man eine Low & Slow-Attacke der Anwendungsebene mit einem einzigen Rechner durchführen – die für das Opfer einen letalen Ausgang nimmt. Cyberkriminelle automatisieren solche Angriffe mit Hilfe besonderer Tools und meist fällt ihre Wahl dabei auf R.U.D.Y oder Slowloris.

R.U.D.Y (R U Dead Yet?) erzeugt POST-Anfragen und ergänzt sie danach über einen langen Zeitraum – Byte für Byte -, wobei sich Perioden der Aktivität und Untätigkeit ablösen. Als Folge hängen sich alle Funktionsströme der angegriffenen Anwendung auf, oder sie sind mit der nicht enden wollende Verarbeitung der 1-Вyte-großen POST-Fragmente beschäftigt.

Der HTTP-Client Slowloris wird seinem Namen voll und ganz gerecht: Er ist langsam und gefräßig. Der Client hält offene Verbindungen mit dem angegriffenen Server aufrecht, indem er unvollständige HTTP-Anfragen verschickt. Daraufhin sendet der in vorgegebenen Zeitabständen Header, der Server schöpft sein ganzes Limit aus und ist für die Anwender nicht mehr erreichbar. Für eine erfolgreiche DDoS-Attacke reichen Slowloris einige hundert Anfragen aus, die in vorgegebenen Abständen über einen langen Zeitraum ausgegeben werden.

Schutz

Eine Attacke des Typs Low & Slow auf Anwendungsebene kann nur dann aufgedeckt werden, wenn Echtzeitergebnisse des System-Monitorings vorliegen, insbesondere Berichte über den Ressourcenverbrauch und die Ressourcenverteilung. Ein Schutz-Tool, das ein ununterbrochenes Monitoring durchführt und eine Bestandsaufnahme der Ressourcen unterstützt, kann eine solche Abweichung von der Norm problemlos erkennen, wie einen längeren „Ausfall“ offener Verbindungen oder den unvollendeten Prozess auf dem Anwendungsstapel, der schon längst abgeschlossen sein sollte.

Ein solches Monitoring-Schema kann z.B. mittels Integration von Schutzmechanismen auf dem Server umgesetzt werden. Eine andere Variante besteht darin, die Schutzlösung mit einer Funktonalität auszustatten, die eine Verhaltensanalyse der offenen Verbindungen auf dem Server ermöglicht und die Ressourcen des Stapelspeichers ohne direkte Verbindung zum Server emuliert. Mit einer korrekten Technologie zur Verhaltensanalyse kann der Missbrauch eines Netzes durch die Ressourcen einer Anwendung mit hoher Genauigkeit bestimmt werden. Nach der Identifizierung von verdächtiger Aktivität kann man diese bis zu ihrer Quelle zurückverfolgen und die entsprechenden Maßnahmen ergreifen.

Auf diese Weise, so schließt Kenig, widerlegen die Low & Slow-Methoden einige der hartnäckigsten Klischees über DDoS-Attacken. Obgleich Low & Slow-Attacken relativ simpel sind und nur einen minimalen Ressourceneinsatz erfordern, erlebt diese Angriffsart einen Aufschwung. Und der Schutz vor derartigen Attacken macht eine solide Sicherheits-Infrastruktur erforderlich, sowie ein Sonderteam von Spezialisten, die in der Lage sind, eine verborgene Angriffstaktik in Echtzeit zu erkennen.

QuelleRadware

Low & Slow DDoS bricht mit Klischees

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach