Layer-7-DDoS: Wenn 16 Millionen Sessions pro Minute auf einen Server treffen

Viele denken bei DDoS-Attacken immer noch an reine Volumenattacken. Wenn von Terabit-Peaks, überlasteten Backbones und massiven Bandbreitenschlachten die Rede ist, horchen die meisten auf. Angriffe können sich auch in anderen Dimensionen abspielen, wobei die Folgen dennoch gravierend sein können. 

Ein aktuelles Beispiel zeigt, wie präzise Layer-7-DDoS-Angriffe (auch Application-Layer-Angriffe genannt) heute orchestriert werden. Hier ging es nicht um stundenlange Dauerbelastung oder Rekordvolumen, sondern um die gezielte Lahmlegung einer Webanwendung durch massenhaft parallele Sessions. 

Klein aber oho 

Der Angriff begann unscheinbar. Es gab keinen ungewöhnlichen Anstieg im Backbone und auch keine Überlastung der Leitungen. Erst bei der Analyse der Webserver wurde deutlich, dass etwas nicht stimmte. 

• Innerhalb weniger Minuten wurden rund 580 Millionen HTTP-Anfragen gegen eine einzelne Domain abgefeuert. 

• Zeitweise wurden dabei bis zu 16 Millionen Sessions pro Minute parallel aufgebaut.  

• Beteiligt waren rund 1.000 verschiedene IP-Adressen, die gemeinsam einen hochgradig verteilten Angriff erzeugten. 

• Die Requests waren standardisierte HTTP-GET-Anfragen – simpel, aber in der Masse überwältigend. 

Die Folge: Die Applikation geriet unter massiven Druck – allerdings nicht aufgrund der Bandbreite, sondern aufgrund der Überlastung von CPU, Speicher und Session-Handling. 

Wie die Attacke funktionierte 

Während volumetrische Angriffe vor allem „die Rohre verstopfen“, zielt ein Layer-7-Angriff auf die Applikationsebene ab. Hier reicht es, innerhalb kurzer Zeit Millionen vermeintlich legitimer Anfragen zu stellen. Webserver müssen jede dieser Anfragen bearbeiten und stoßen damit schnell an ihre Grenzen. 

Besonders auffällig war in diesem Fall: 

• Die Attacke beschränkte sich nur auf die Root-Domain, nicht auf tiefere Verzeichnisse oder APIs. 

• Die Anfragen selbst sahen für Außenstehende „normal” aus. Es handelte sich nicht um exotische Protokolle oder fehlerhafte Requests, sondern um reguläre GET-Aufrufe. 

• Mehr als 102 Millionen Bot-Requests wurden erkannt und blockiert.  

Damit zeigt sich die besondere Gefahr: Solche Angriffe sind schwer von regulärem Nutzerverhalten zu unterscheiden. 

Verteidigung in Echtzeit

Entscheidend war die Reaktion der Schutzsysteme. Die Web Application Firewall (WAF) erkannte Auffälligkeiten frühzeitig. Mehrere Sicherheitsregeln sprangen gleichzeitig an, etwa: 

• Ungewöhnlich hohe Anfrageraten pro IP. 

• Parallele Sessions in ungewöhnlicher Dichte. 

• Zugriffsmuster, die nicht menschlichem Verhalten entsprachen. 

Sobald eine Quelle als verdächtig eingestuft wurde, griff zusätzlich eine Blockade auf Layer 3. Dadurch wurde weiterer schädlicher Traffic dieser IP-Range bereits auf Netzwerkebene geblockt, so dass die Applikationsschicht nicht betroffen war. Zusätzlich setzten die Systeme auf eine Art „Quarantäne“: Angreifer-IP-Adressen, die einmal als verdächtig eingestuft wurden, wurden automatisch auf eine Sperrliste gesetzt.  

Das Ergebnis: Der Angriff konnte zwar kurzfristig Last erzeugen, wurde aber im weiteren Verlauf zunehmend ins Leere geleitet. 

Ein lernendes Botnet

Besonders interessant war die Adaptivität des Botnets. Während der Attacke tauchten kontinuierlich neue IP-Adressen auf. Sobald eine Gruppe blockiert wurde, wurde die nächste nachgeladen. Dieses Verhalten deutet auf eine automatisierte Steuerung mit global verteilter Infrastruktur hin. 

Mit anderen Worten: Hier agierte kein statisches Botnet, das nach einigen Minuten verpufft wäre. Es handelte sich vielmehr um ein hochgradig flexibles Angriffswerkzeug, das auf Abwehrmaßnahmen reagieren konnte. 

Warum Layer-7-Angriffe so gefährlich sind

Volumetrische Angriffe lassen sich in der Regel schnell erkennen. Die Bandbreite explodiert, Router und Switches schlagen Alarm. Application-Layer-Angriffe bewegen sich dagegen oft unterhalb dieser Schwelle. Sie nutzen Schwächen aus, die in der Applikation selbst liegen. 

Die zentralen Risiken sind: 

• Täuschend echt: Die Requests ähneln normalen Nutzeranfragen. 

• Ressourcenintensiv: Jeder einzelne Request beansprucht Serverkapazitäten. 

• Schwer erkennbar: Klassische Netzwerkfilter greifen hier oft nicht. 

Gerade Unternehmen, die stark von ihrer Webpräsenz abhängig sind – etwa aus den Bereichen E-Commerce, Gaming oder digitale Plattformen – laufen Gefahr, dass selbst kurze Angriffe zu spürbaren Ausfällen und Umsatzeinbußen führen. 

Lehren aus dem Angriff

Dieser Vorfall macht deutlich, dass moderne DDoS-Angreifer nicht unbedingt auf schiere Größe setzen müssen. Präzision schlägt Volumen. So lässt sich mit vergleichsweise geringen Ressourcen – in diesem Fall unter 1.000 IP-Adressen – massiver Schaden anrichten, wenn die Angriffstaktik klug gewählt wurde. 

Die wichtigsten Erkenntnisse: 

• Frühzeitige Anomalie-Erkennung ist entscheidend, um Layer-7-Angriffe rechtzeitig zu stoppen. 

• Automatisierte Abwehr muss adaptiv sein und sich auf wechselnde Muster einstellen können. 

• Mehrschichtige Verteidigung – vom Backbone bis zur Applikation – ist notwendig, um Lücken zu schließen. 

Fazit

DDoS-Angriffe sind längst mehr als nur ein Wettrennen um die höchste Bandbreite. Die Gefahr liegt heute vor allem in der Kombination aus technischer Raffinesse und gezielten Angriffen auf Anwendungen. Ein Layer-7-Angriff hat gezeigt, wie schwerwiegend selbst „unsichtbare” Attacken sein können, wenn innerhalb von Minuten Millionen Sessions ohne regulären Nutzerzweck aufgebaut werden. 

Wer seine Dienste schützen will, muss die Verteidigung in die Tiefe denken: Nicht nur Gigabit-Angriffe abwehren, sondern auch Muster verstehen, Verhalten analysieren und flexibel reagieren. Nur so lassen sich auch hochentwickelte Attacken wie diese effektiv abwehren. 

Jetzt kontaktieren >>

Share this post