DDoS-Angriffe (Verteilter Denial-of-Service) und DoS (Denial-of-Service-Angriff) Angriffe können grob in drei Kategorien eingeteilt werden, basierend auf den Schichten des OSI-Modells, auf die sie abzielen: Vermittlungsschicht (Schicht 3), Transportschicht (Schicht 4), und Anwendungsschicht (Schicht 7).

Schicht 3 und Schicht 4 Angriffe sind in der Regel weniger komplex–auch wenn es sehr schwierig sein könnte, sie zu entschärfen–und die Überflutung des Netzes und der Transportschicht mit Datenverkehr, Überlastung der Ressourcen des Zielsystems und Unzugänglichkeit für legitime Benutzer. Diese Art von Angriffen kann mit verschiedenen Techniken wie ICMP-Floods gestartet werden, TCP SYN Überflutungen, oder UDP-Überschwemmungen.

Zum Beispiel eine ICMP-Flood, ist eine Ebene 3 -Angriff, bei dem eine große Anzahl von ICMP-Paketen auf das Zielsystem geflutet wird, Wodurch es nicht mehr reagiert. Eine TCP-SYN-Flut, Auf der anderen Seite, ist eine Schicht 4 -Angriff, der die Art und Weise ausnutzt, wie TCP-Verbindungen hergestellt werden.

Bei einem SYN-Flood-Angriff, Der Angreifer sendet viele SYN-Pakete an das Zielsystem, sendet jedoch niemals ein ACK-Paket, um die Verbindung abzuschließen. Dies führt dazu, dass das System für jeden Verbindungsversuch Ressourcen zuweist, wodurch das System schließlich überlastet wird und es für legitime Benutzer nicht mehr verfügbar ist. Eine UDP-Flood sendet eine große Anzahl von UDP-Paketen an ein Zielsystem, seine Ressourcen verbraucht und es nicht mehr reagiert.

DDoS-Angriffe auf Anwendungsebene

Angriffe auf Anwendungsebene sind komplexer und schwieriger zu entschärfen als auf Schichtebene 3 und Schicht 4 Angriffe. Diese Angriffe zielen auf die Anwendungsschicht ab (Schicht 7) des Zielsystems und Ausnutzung von Schwachstellen in der Anwendung selbst. Schicht 7 Angriffe können mehr Schaden anrichten, da sie sich direkt auf Anwendungen und die zugrunde liegende Infrastruktur auswirken können. Sie werden nicht in der Lage sein, die Schicht zu entschärfen 7 DDoS-Angriffe mit Layer 3 oder Layer 4 Tools wie z. B. mit Netzwerk-Firewalls.

HTTP-Überschwemmungen, Slowloris-Attacken, und DNS-Amplification-Angriffe sind Layer 7 Denial-of-Service-Angriffe. Diese Angriffe erfordern ausgefeiltere Abwehrmaßnahmen, wie z. B. Firewalls auf Anwendungsebene, Intrusion Prevention-Systeme, und CDN (Content-Delivery-Netzwerke).

HTTP-Überschwemmungen

HTTP-Floods-Angriffe werden mit GET- oder POST-Anfragen durchgeführt, um den Zielserver zu überlasten. Flood-Angriffe mit GET-Anfragen sind in der Regel einfacher und erfordern weniger Ressourcen, da sie nur Informationen vom Server anfordern. POST-Anfragen, Auf der anderen Seite, erfordern in der Regel das Senden großer Datenmengen.

Einer der Gründe, warum HTTP-Flood-Angriffe schwer zu entschärfen sind, besteht darin, dass sie oft aus einer großen Anzahl von Quellen gestartet werden, Dies erschwert die Identifizierung und Blockierung des gesamten bösartigen Datenverkehrs. Zusätzlich, Angreifer können Techniken wie IP-Spoofing verwenden, um ihre wahre Identität zu verschleiern und es noch schwieriger zu machen, die Quelle ihrer Angriffe zu ermitteln.

Die Abwehr von HTTP-Flood-Angriffen kann kompliziert sein. Unterschiedliche Arten von Angriffen erfordern unterschiedliche Strategien zur Risikominderung. Zu den gängigen Abwehrmaßnahmen gegen HTTP-Flood-Angriffe gehört die Ratenbegrenzung, Blacklisting, und Web Application Firewalls. Aber, Diese Techniken können ressourcenintensiv sein und reichen möglicherweise nicht aus, um ausgefeiltere Angriffe zu vereiteln.

Slowloris-Attacken

Slowloris ist eine Art von Flooding-Angriff, bei dem die Art und Weise, wie Webserver Client-Verbindungen handhaben, ins Visier genommen wird. Bei diesem Angriff wird eine große Anzahl von Verbindungen zum Server geöffnet, aber das Senden der Anfragen mit einer langsamen Geschwindigkeit, Halten Sie jede Verbindung so lange wie möglich offen. Diese Art von Angriff kann alle verfügbaren Ressourcen des Servers verbrauchen und ermöglicht es Angreifern, CPU zu verbrauchen, Gedächtnis, oder Netzwerkbandbreite, etc. ohne die typische Ratenbegrenzung auszulösen und Mechanismen zur Filterung des Datenverkehrs, die häufig zur Erkennung und Abwehr anderer Arten von DDoS-Angriffen verwendet werden.

Um einen Slowloris-Angriff durchzuführen, Angreifer verwenden in der Regel Skripte oder Tools, die HTTP-Anfragen an einen Server senden, aber das Versenden nachfolgender Anfragen bewusst hinauszögern. Die Anfrage ist so konzipiert, dass sie wie eine legitime Anfrage aussieht, aber mit einem unvollständigen Header, der die Verbindung auf unbestimmte Zeit offen hält. Mit der Zeit, Der Server verfügt über viele offene Verbindungen, die auf zusätzliche Daten vom Client warten, Dies führt dazu, dass der Server nicht mehr auf legitimen Datenverkehr reagiert.

Slowloris-Angriffe können aufgrund ihres verdeckten Designs und ihrer relativ geringen Bandbreite schwer zu erkennen sein. Dies macht es zu einem effektiven Werkzeug für Angreifer, die ihre Server sabotieren wollen, ohne Alarm auszulösen oder Verdacht zu erregen. Zur Abwehr von Slowloris-Angriffen, Webserver können mehrere Gegenmaßnahmen ergreifen. Zum Beispiel, Begrenzen Sie die Anzahl der Verbindungen, die von einer einzelnen IP-Adresse aus hergestellt werden können, oder legen Sie ein Timeout für unvollständige Anfragen fest. Einige Web Application Firewalls und DDoS-Abwehrdienste verfügen über einen integrierten Schutz vor Slowloris-Angriffen, mithilfe von Algorithmen, die solchen Datenverkehr in Echtzeit erkennen und blockieren können.

Schicht 7 DDoS-Abwehrmaßnahmen

Ratenbegrenzung

Bei der Ratenbegrenzung wird ein Schwellenwert für die Anzahl der Anfragen festgelegt, die von einer bestimmten IP-Adresse oder einem bestimmten Benutzeragenten in einem bestimmten Zeitraum gestellt werden können. Das Konzept ist der Ratenbegrenzung in Schichten sehr ähnlich 3 Aber es muss auf der Ebene implementiert werden 7.

Der Zweck der Ratenbegrenzung besteht darin, zu verhindern, dass ein Angreifer die Webanwendung mit einer großen Anzahl von Anfragen überlastet, Verursacht eine Serverunterbrechung. Die Ratenbegrenzung kann auf verschiedenen Ebenen Ihrer Webanwendungsarchitektur implementiert werden, auf einem Webserver, Lastenausgleich, oder Anwendungs-Firewall. Implementierungen umfassen in der Regel die Verfolgung der Anzahl der Anfragen, die von einer bestimmten IP-Adresse oder einem bestimmten Benutzeragenten gestellt werden, und das Blockieren weiterer Anfragen, wenn ein vordefinierter Schwellenwert erreicht wird.

Ein gängiger Ansatz für die Implementierung von Ratenbegrenzung in Webanwendungen ist die Verwendung von Middleware oder Plugins, die die Anzahl der von jedem Client gestellten Anfragen verfolgen und weitere Anfragen blockieren, wenn der Schwellenwert überschritten wird. Diese Plugins können so konfiguriert werden, dass sie basierend auf Faktoren wie der Art der Anfrage unterschiedliche Richtlinien zur Ratenbegrenzung anwenden, Benutzer-Agent, oder Client-IP-Adresse.

Zum Beispiel, Eine einfache Ratenbegrenzungsrichtlinie kann Anfragen von einer einzelnen IP-Adresse auf ein Maximum von 10 Anfragen pro Minute. Wenn ein Client diesen Schwellenwert überschreitet, Nachfolgende Anfragen werden bis zum Ablauf der Frist blockiert.

Produkte zur Ratenbegrenzung auf Anwendungsebene sind für gängige Webserver und Cloud-Dienste verfügbar, einschließlich:

Apache

Apache verfügt über mehrere Module, die zur Ratenbegrenzung verwendet werden können, wie mod_limitipconn, wodurch die Anzahl der gleichzeitigen Verbindungen von einer bestimmten IP-Adresse begrenzt wird, Und mod_qos, die verschiedene Kontrollen der Dienstqualität bietet, einschließlich Ratenbegrenzung.

Außerdem, ModSecurity Web Application Firewall verfügt über eine Ratenbegrenzungsfunktion, die Clients blockieren kann, die einen definierten Schwellenwert überschreiten. Zusätzlich zu den oben genannten Modulen, Apache bietet auch mod_evasive. Dabei handelt es sich um ein Modul, das verwendet werden kann, um Clients, die einen definierten Schwellenwert überschreiten, zu begrenzen und zu blockieren. Erkennen und blockieren Sie nicht autorisierte Clients mit einer Vielzahl von Techniken, einschließlich IP- und User-Agent-Tracking.

Nginx (Englisch)

Nginx bietet ngx_http_limit_req Modul. Dies kann verwendet werden, um die Anforderungsrate von bestimmten Clients basierend auf der IP-Adresse oder anderen Faktoren zu begrenzen. Dieses Modul verwendet einen Token-Bucket-Algorithmus, um jedem Client basierend auf einer Ratenbegrenzungsrichtlinie Token zuzuweisen. Neben ngx_http_limit_req Modul, Nginx bietet auch ngx_http_limit_conn Modul. Dies kann verwendet werden, um die Anzahl der Verbindungen von bestimmten Clients oder IP-Adressen zu begrenzen. Dieses Modul verwendet einen Token-Bucket-Algorithmus, um Token basierend auf Ratenbegrenzungsrichtlinien zuzuweisen.

IIS (IIS)

Die Internetinformationsdienste von Microsoft (IIS (IIS)) Enthält eine dynamisches IP-Begrenzungsmodul die zur Ratenbegrenzung verwendet werden können. Dieses Modul kann so konfiguriert werden, dass Anfragen von IP-Adressen, die vordefinierte Schwellenwerte überschreiten, blockiert werden, und es können auch Warnungen und Protokolle zur Überwachung bereitgestellt werden. Zusätzlich zum Dynamic IP Limiting Modul, IIS bietet auch ein Anforderungsfiltermodul, mit dem die Anforderungsrate bestimmter Clients basierend auf verschiedenen Kriterien, wie z. B. der IP-Adresse, begrenzt werden kann, Benutzer-Agent, und Anforderungsmethode.

AWS (Englisch)

Amazon Webdienste (AWS (Englisch)) bietet verschiedene Dienste an, die zur Ratenbegrenzung verwendet werden können, einschließlich AWS WAF mit Ratenbegrenzung als Funktion.

AWS Shield bietet DDoS-Schutz, einschließlich ratenbasierter Regeln, die Anfragen von IP-Adressen oberhalb eines bestimmten Schwellenwerts blockieren können. Zusätzlich zu AWS WAF und AWS Shield, AWS bietet auch AWS Elastic Load Balancer. Es enthält verschiedene Richtlinien zur Ratenbegrenzung, die so konfiguriert werden können, dass Clients über vordefinierte Schwellenwerte hinaus blockiert werden.

Azurblau

Microsoft Azure bietet mehrere Dienste an, die zur Ratenbegrenzung verwendet werden können, einschließlich Azure Application Gateways. Es enthält eine Web Application Firewall, die so konfiguriert werden kann, dass die Rate eingehender Anfragen begrenzt wird. Zusätzlich, Azure Front Door-Angebote eine Funktion zur Ratenbegrenzung die Anfragen von IP-Adressen oberhalb eines vordefinierten Schwellenwerts blockieren können. Zusätzlich zu Azure Application Gateway und Azure Front Door, Azure bietet auch Azure Firewall. Dies kann verwendet werden, um eine Ratenbegrenzung durchzuführen und Clients zu blockieren, die einen definierten Schwellenwert überschreiten.

GCP

Google Cloud Plattform (GCP) bietet Cloud Armor, Eine Web Application Firewall mit Funktionen zur Ratenbegrenzung, die Anfragen von Clients blockieren kann, die einen definierten Schwellenwert überschreiten.

Diese Produkte zur Ratenbegrenzung auf Anwendungsebene können HTTP-Flood-Angriffe effektiv abwehren, indem sie die Anzahl der Anfragen von nicht autorisierten Clients begrenzen. Aber, Es ist wichtig, dass sie richtig konfiguriert sind, um legitimen Datenverkehr nicht zu blockieren, und in Verbindung mit anderen Sicherheitsmaßnahmen wie Firewalls und DDoS-Abwehrdiensten verwendet werden, um einen umfassenden Schutz vor DDoS-Angriffen zu bieten.

Timeouts für unvollständige Anforderungen

Im Folgenden sind einige Slowloris-Methoden zur Abwehr der Anwendungsschicht aufgeführt, die für Apache aufgelistet sind, Nginx (Englisch), und IIS-Webserver, und Load-Balancer und zusätzliche Funktionen für AWS, Azurblau, und GCP-Dienstleistungen:

Apache

Zusätzlich zu den oben genannten Modulen, Apache stellt auch ein Modul zur Verfügung, mod_reqtimeout, , die verwendet werden kann, um ein Timeout für eingehende Anfragen festzulegen. Wenn der Client eine Anforderung sendet, die länger als das angegebene Timeout dauert, Der Server schließt die Verbindung. Dadurch werden Slowloris-Angriffe verhindert.

Nginx (Englisch)

Neben ngx_http_limit_conn Modul und ngx_http_limit_req Modul, Nginx stellt auch sein ngx_http_request-Modul zur Verfügung. Dies kann verwendet werden, um die Zeit zu begrenzen, die der Upstream-Server benötigt, um die Anfrage zu verarbeiten. Wenn der Upstream-Server länger als die angegebene Zeitüberschreitung benötigt, Nginx schließt die Verbindung.

IIS (IIS)

Zusätzlich zu den Modulen Dynamic IP Restrictions und Request Filtering, IIS stellt auch einen Kernelmodustreiber bereit HTTP.sys. Auf diese Weise können Sie eine Zeitüberschreitung für eingehende Anfragen festlegen. Wenn der Client eine Anforderung sendet, die länger als das angegebene Timeout dauert, Der Server schließt die Verbindung.

AWS (Englisch)

Zusätzlich zu AWS WAF und AWS Shield, AWS bietet zusätzlich Elastic Load Balancer, Dies enthält zahlreiche Verbindungs-Timeout-Regeln, die so konfiguriert werden können, dass Verbindungen geschlossen werden, die länger als ein vordefinierter Schwellenwert dauern.

Azurblau

Zusätzlich zu Azure Application Gateway und Azure Front Door, Azure bietet zusätzlich Azure Load Balancer, die eine konfigurierbare Leerlauf-Timeout-Charakteristik enthält, die verwendet werden kann, um Verbindungen zu schließen, die möglicherweise für einen vordefinierten Zeitraum inaktiv sind.

GCP

Google Cloud Plattform (GCP) Bietet zahlreiche Verbindungs-Timeout-Alternativen für seine Dienste, Dazu gehört Cloud Load Balancing, die eine konfigurierbare Timeout-Charakteristik enthält, die verwendet werden kann, um Verbindungen zu schließen, die länger als ein vordefinierter Schwellenwert dauern.

Schlussfolgerung

Schließlich, DDoS- und DoS-Angriffe können auf der Grundlage der Schichten des OSI-Modells, auf die sie abzielen, klassifiziert werden, wie z. B. die Netzwerkschicht (Schicht 3), Transportschicht (Schicht 4), und Anwendungsschicht (Schicht 7).

Während der Schicht 3 und Schicht 4 Angriffe überfluten das Netzwerk und die Transportschichten mit Datenverkehr, Schicht 7 Angriffe sind komplexer und nutzen Schwachstellen in den Anwendungen selbst aus. HTTP-Floods und Slowloris-Angriffe sind Beispiele für Layer-Angriffe 7 Denial-of-Service-Angriffe. Zu den Gegenmaßnahmen gegen diese Angriffe gehört die Ratenbegrenzung, Blacklisting, und Web Application Firewalls. Die Identifizierung und Eindämmung von Angriffen in Echtzeit erfordert eine umfassende, Mehrschichtige Abwehrstrategie, die Überwachung umfasst, Erkennung, und Reaktionsfähigkeit.

Zusätzlich, Angreifer können ihre Techniken anpassen und ihre Angriffe so anpassen, dass sie nicht entdeckt werden und Sicherheitsmaßnahmen umgehen. Daher, Es ist zwingend erforderlich, dass Unternehmen eine umfassende, Mehrschichtige Abwehrstrategie, die Überwachung umfasst, Erkennung, und Reaktionsfähigkeiten, um Angriffe schnell in Echtzeit zu identifizieren und einzudämmen. Dies kann die Verwendung fortschrittlicher Algorithmen für maschinelles Lernen und Verhaltensanalysen umfassen, um bösartige Verkehrsmuster zu erkennen und zu blockieren.