Inhalt
Ein Application-Layer-DDoS-Angriff ist eine Art der DDoS-Attacke (Distributed Denial-of-Service), die darauf abzielt, die Dienste einer Webanwendung oder eines Servers zu stören, indem die Ressourcen auf der Anwendungsebene (Schicht 7 des OSI-Modells) überlastet werden.
Was ist das OSI-Modell?
Das OSI-Modell (Open Systems Interconnection Model) ist ein theoretisches Schichtenmodell, das beschreibt, wie Daten in einem Netzwerk übertragen und verarbeitet werden. Es besteht aus sieben Schichten, wobei jede Schicht spezifische Funktionen erfüllt und mit der darüber- oder darunterliegenden Schicht interagiert.
Die Merkmale eines Application-Layer-DDoS-Angriffs
Ein entscheidendes Merkmal ist, dass der Angriff gezielt die Anwendungsebene adressiert, auf der Benutzer mit Diensten interagieren. Typische Angriffsziele sind HTTP-Anfragen an Webseiten, APIs, Datenbanken oder spezifische Funktionen wie Login-Seiten oder Suchfelder. Im Gegensatz zu volumetrischen Angriffen, die Netzwerke durch riesige Datenmengen überlasten, zielt ein Application-Layer-DDoS-Angriff darauf ab, die serverseitigen Ressourcen wie CPU-Leistung, Arbeitsspeicher oder Datenbankkapazitäten zu erschöpfen.
Diese Angriffe können sehr effizient sein, da sie häufig mit einer geringen Bandbreite auskommen. Selbst ein kleines Botnet oder eine begrenzte Anzahl an bösartigen Akteuren kann erhebliche Schäden verursachen. Ein weiteres zentrales Merkmal ist die Fähigkeit des Angriffs, legitimen Traffic nachzuahmen. Die Anfragen wirken wie normale Benutzeraktionen, etwa das Laden einer Webseite oder das Senden eines Formulars. Dies macht die Erkennung und Abwehr extrem schwierig, da klassische Sicherheitslösungen wie Firewalls oder Intrusion Detection Systems (IDS) bösartigen Traffic nicht ohne Weiteres identifizieren können.
Application-Layer-DDoS-Angriffe können außerdem sehr präzise sein. Angreifer wählen gezielt Schwachstellen in der Anwendung aus, die besonders ressourcenintensiv sind. Ein Beispiel ist das Überlasten einer komplexen Suchfunktion oder das wiederholte Auslösen datenbankintensiver Abfragen. Diese gezielte Überforderung führt dazu, dass legitime Nutzer nicht mehr auf die Anwendung zugreifen können oder stark eingeschränkte Ladezeiten hinnehmen müssen.
Darüber hinaus gibt es Varianten wie sogenannte „Low-and-Slow“-Angriffe. Dabei werden Anfragen sehr langsam gesendet, um die Verbindung so lange wie möglich offen zu halten und dadurch Ressourcen dauerhaft zu blockieren. Solche Angriffe, etwa der Slowloris-Angriff, sind besonders schwer zu erkennen, da sie kaum Bandbreite benötigen und oft unauffällig bleiben.
Beispiele für Application-Layer-DDoS-Angriffe
Es gibt verschiedene Beispiele für Application-Layer-DDoS-Angriffe, die sich jeweils auf spezifische Protokolle, Anwendungen oder Funktionen konzentrieren. Diese Angriffe sind darauf ausgelegt, serverseitige Ressourcen wie CPU, RAM oder Datenbanken zu überlasten, indem sie die Anwendungsschicht (Layer 7) des OSI-Modells angreifen.
HTTP-Flood-Angriff
Ein HTTP-Flood-Angriff überflutet einen Server mit einer Vielzahl scheinbar legitimer HTTP- oder HTTPS-Anfragen, wie z. B. GET- oder POST-Anfragen. Das Ziel ist es, die Ressourcen des Servers wie CPU oder Arbeitsspeicher zu überlasten, sodass er legitime Anfragen nicht mehr bearbeiten kann. Da der Angriff normalen Benutzeraktivitäten ähnelt, ist er schwer zu erkennen und abzuwehren.
Slowloris-Angriff
Beim Slowloris-Angriff werden Verbindungen zu einem Webserver geöffnet und bewusst unvollständig gehalten, indem die Anfragen langsam gesendet und nie abgeschlossen werden. Dadurch bleiben Serverressourcen wie Verbindungen oder Threads blockiert, was die Verarbeitung neuer Anfragen verhindert. Dieser Angriff benötigt nur eine geringe Bandbreite, ist schwer erkennbar und kann selbst leistungsstarke Server effektiv lahmlegen.
DNS-Query-Flood
Ein DNS-Query-Flood-Angriff zielt darauf ab, DNS-Server zu überlasten, indem eine enorme Menge an DNS-Abfragen gesendet wird. Oft werden gefälschte oder nicht existierende Domainnamen angefragt, was die Verarbeitungskapazitäten des Servers vollständig erschöpfen kann. Die Folge ist, dass legitime Nutzer keine Domainnamen mehr auflösen können, was den Zugriff auf Webseiten und andere internetbasierte Dienste verhindert.
API-Missbrauch
Beim API-Missbrauch werden APIs einer Anwendung mit einer hohen Anzahl an Anfragen gezielt überlastet. Diese Anfragen können ressourcenintensive Prozesse wie Datenbankabfragen oder Berichte auslösen, wodurch die Serverkapazitäten erschöpft werden. Der Angriff richtet sich oft gegen öffentliche oder schlecht gesicherte API-Endpunkte. Neben der Überlastung können solche Angriffe auch sensible Daten gefährden, wenn Schwachstellen in der API ausgenutzt werden.
Erfahren Sie mehr über eine DSGVO-konforme, cloud-basierte und patentierte DDoS Protection, die hält, was sie verspricht.
Wie kann man sich vor einem Application-Layer-DDoS-Angriff schützen?
Der Schutz vor Application-Layer-DDoS-Angriffen erfordert eine gezielte und umfassende Strategie, da diese Angriffe auf die Schwachstellen der Anwendungsebene abzielen und sich oft nur schwer von regulärem Nutzerverkehr unterscheiden lassen. Eine der wichtigsten Maßnahmen ist der Einsatz einer Web Application Firewall (WAF), die den eingehenden Datenverkehr analysiert und bösartige Anfragen filtert.
WAFs sind darauf spezialisiert, ungewöhnliche Muster zu erkennen, wie etwa eine ungewöhnlich hohe Anzahl von HTTP-Anfragen an bestimmte Endpunkte, und können diese frühzeitig blockieren. Ergänzend dazu ist die Traffic-Filterung ein effektiver Ansatz, um zwischen legitimen Nutzern und Bots zu unterscheiden. Mithilfe von Captchas oder Verhaltensanalysen können beispielsweise verdächtige Aktivitäten identifiziert und gestoppt werden.
Eine weitere Schutzmaßnahme ist das Rate Limiting, das die Anzahl der Anfragen pro Benutzer in einem bestimmten Zeitraum begrenzt. Dadurch wird verhindert, dass Angreifer eine Vielzahl von Anfragen senden und damit die Serverressourcen überlasten. Um die Belastung von einzelnen Servern zu minimieren, kann Load Balancing eingesetzt werden.
Dabei wird der Datenverkehr auf mehrere Server oder geografisch voneinander entfernte Rechenzentren verteilt, was nicht nur die Last gleichmäßiger verteilt, sondern auch die Ausfallsicherheit erhöht. Insbesondere Content Delivery Networks (CDNs) spielen hier eine wichtige Rolle, da sie den Datenverkehr auf globale Standorte verteilen und gleichzeitig für schnellere Ladezeiten sorgen.
Anomalie-Erkennungssysteme, die auf maschinellem Lernen oder heuristischen Methoden basieren, sind ebenfalls ein essenzieller Bestandteil einer effektiven Verteidigungsstrategie. Diese Systeme überwachen den Datenverkehr in Echtzeit, erkennen untypische Aktivitäten wie plötzliche Traffic-Spitzen oder wiederholte ressourcenintensive Anfragen und blockieren diese. Zusätzlich kann eine skalierbare Infrastruktur, beispielsweise durch den Einsatz von Cloud-Diensten, die Auswirkungen eines Angriffs abmildern.
Auch auf DNS-Ebene lassen sich Maßnahmen ergreifen, um Angriffe wie DNS Query Floods abzuwehren. DNS-DDoS-Schutzdienste können den Traffic bereits auf DNS-Ebene filtern und schädliche Anfragen blockieren, bevor sie die Anwendung erreichen. Ergänzend dazu ist der Einsatz von IP-Whitelisting und Blacklisting sinnvoll, um nur vertrauenswürdigen IP-Adressen Zugriff auf sensible Endpunkte wie Admin-Bereiche oder APIs zu gewähren.
Für Funktionen wie Login-Seiten oder Suchfelder empfiehlt es sich, diese durch zusätzliche Schutzmechanismen wie Captchas, Login-Ratenbegrenzungen oder Multi-Faktor-Authentifizierung abzusichern.
Zusätzlich sollte die Infrastruktur durch Redundanz und Failover-Strategien abgesichert werden, sodass bei einem Angriff automatisch auf alternative Server oder Rechenzentren umgeschaltet werden kann. Regelmäßige Sicherheitsupdates und Patches sind ebenfalls essenziell, um bekannte Schwachstellen in Software und Frameworks zu schließen und Angreifern keine Angriffsfläche zu bieten.
Share this post
