Überraschung selbst dort, wo DDoS-Angriffe Alltag sind

Imperva sieht Attacken als „Kanarienvögel in der Kohlengrube“ für aufkommende Angriffstrends

[datensicherheit.de, 06.04.2016] Wer im „Imperva Incapsula-Team“ arbeitet, ist ständigen DDoS-Angriffen ausgesetzt – dabei soll es sich teils um 100-Gbps-Angriffe handeln, die auf den Computerbildschirmen im Büro Wellen schlagen und die mit Berichten über abgewehrte Angriffe überfüllte Posteingänge erzeugen. DDoS wird dort somit zur täglichen Routine. Dennoch gibt es laut Imperva hin und wieder Angriffe, die herausstechen und den dortigen Sicherheitsexperten besonders auffallen.

Kanarienvögel in der Kohlengrube

Oft seien diese Angriffe gewissermaßen die „Kanarienvögel in der Kohlengrube“ für aufkommende Angriffstrends. Über einen solchen berichtet Imperva in einem aktuellen Report — es handele sich um einen Angriff, der die Art, über den DDoS-Schutz von Anwendungsschichten nachzudenken, infrage stelle.

Angriff auf die Server-Ressourcen

Grob gesagt handele es sich bei „Layer 7–„ oder auch „Anwendungsschichten–DDoS-Angriffe“ um Versuche, Server-Ressourcen (z.B. RAM und CPU) auszulaugen, indem eine große Anzahl von Verarbeitungsaufgaben durch „HTTP GET-“/„POST“-Anfragen initiiert würden. Diese besäßen gar kein besonders großes Volumen. Das sei auch gar nicht notwendig, denn viele Anwendungsbesitzer verfügten über eine Überversorgung für 100 Anfragen pro Sekunde (RPS), so dass sogar kleine Angriffe den Servern erhebliche Schäden zufügen könnten.
Darüber hinaus, sogar bei extrem hohen RPS-Raten (Imperva hat nach eigenen Angaben Angriffe mit Raten von 268.000 RPS gehabt), sei die Bandbreite der Spuren, die Angriffe auf Anwendungsschichten hinterlassen, normalerweise sehr gering. Das liege daran, dass die Paketgröße jeder Anfrage nicht größer sei als sein paar hundert Bytes.
Das habe zur Folge, dass selbst die größten Angriffe auf Anwendungsschichten weit unter 500 Mbps aufwiesen. Aus diesem Grund seien einige Anbieter und Entwickler von Sicherheitslösungen der Ansicht, dass es sicherer sei, diesen Angriffen mit Filterlösungen zu begegnen, welche nicht zwingend eine zusätzliche Skalierbarkeit böten.

Gigantische „HTTP POST“-Flut

Der besagte Angriff habe vor einigen Wochen stattgefunden, als eine Lotterie-Website mit Sitz in China Ziel eines „HTTP POST“-Flut-Angriffs mit einer Höchstrate von 163.000 RPS geworden sei.
Die eigentliche Überraschung sei erst gekommen, als Imperva festgestellt habe, dass der Angriff eine Bandbreite von 8,7 Gigabytes pro Sekunde benötigt habe – ein Beweis dafür, dass es sich um einen „Anwendungsschichten-Angriff“ gehandelt habe, und zwar um den größten, den die Sicherheitsexperten bis dahin je erfasst hätten.
Um herauszufinden, wie ein Angriff auf Anwendungsschichten ein solches Ausmaß entwickeln konnte, seien die schädlichen „POST“-Anfragen genauer analysiert worden. Es sei ein Skript gefunden worden, dass auf Zufallsbasis große Dateien generiere und versucht habe, diese auf den Server hochzuladen.
Auf diese Weise hätten die Angreifer eine gigantische „HTTP-Flut“ erzeugen können, die aus extrem großen „Content-Length“-Anfragen bestanden habe. Diese hätten zunächst seriös gewirkt, bis die „TPC“-Verbindungen eingerichtet worden seien und die Anfragen von der „Website Protection“, einer Imperva-Lösung für Anwendungsschichten zur Schadensminderung von DDoS, hätten untersucht werden können.

Weitere Informationen zum Thema:

IMPERVA
Defense Center