[datensicherheit.de, 06.04.2016] Wer im „Imperva Incapsula-Team“ arbeitet, ist ständigen DDoS-Angriffen ausgesetzt – dabei soll es sich teils um 100-Gbps-Angriffe handeln, die auf den Computerbildschirmen im Büro Wellen schlagen und die mit Berichten über abgewehrte Angriffe überfüllte Posteingänge erzeugen. DDoS wird dort somit zur täglichen Routine. Dennoch gibt es laut Imperva hin und wieder Angriffe, die herausstechen und den dortigen Sicherheitsexperten besonders auffallen.

Kanarienvögel in der Kohlengrube

Oft seien diese Angriffe gewissermaßen die „Kanarienvögel in der Kohlengrube“ für aufkommende Angriffstrends. Über einen solchen berichtet Imperva in einem aktuellen Report — es handele sich um einen Angriff, der die Art, über den DDoS-Schutz von Anwendungsschichten nachzudenken, infrage stelle.

Angriff auf die Server-Ressourcen

Grob gesagt handele es sich bei „Layer 7–„ oder auch „Anwendungsschichten–DDoS-Angriffe“ um Versuche, Server-Ressourcen (z.B. RAM und CPU) auszulaugen, indem eine große Anzahl von Verarbeitungsaufgaben durch „HTTP GET-“/„POST“-Anfragen initiiert würden. Diese besäßen gar kein besonders großes Volumen. Das sei auch gar nicht notwendig, denn viele Anwendungsbesitzer verfügten über eine Überversorgung für 100 Anfragen pro Sekunde (RPS), so dass sogar kleine Angriffe den Servern erhebliche Schäden zufügen könnten.
Darüber hinaus, sogar bei extrem hohen RPS-Raten (Imperva hat nach eigenen Angaben Angriffe mit Raten von 268.000 RPS gehabt), sei die Bandbreite der Spuren, die Angriffe auf Anwendungsschichten hinterlassen, normalerweise sehr gering. Das liege daran, dass die Paketgröße jeder Anfrage nicht größer sei als sein paar hundert Bytes.
Das habe zur Folge, dass selbst die größten Angriffe auf Anwendungsschichten weit unter 500 Mbps aufwiesen. Aus diesem Grund seien einige Anbieter und Entwickler von Sicherheitslösungen der Ansicht, dass es sicherer sei, diesen Angriffen mit Filterlösungen zu begegnen, welche nicht zwingend eine zusätzliche Skalierbarkeit böten.

Gigantische „HTTP POST“-Flut

Der besagte Angriff habe vor einigen Wochen stattgefunden, als eine Lotterie-Website mit Sitz in China Ziel eines „HTTP POST“-Flut-Angriffs mit einer Höchstrate von 163.000 RPS geworden sei.
Die eigentliche Überraschung sei erst gekommen, als Imperva festgestellt habe, dass der Angriff eine Bandbreite von 8,7 Gigabytes pro Sekunde benötigt habe – ein Beweis dafür, dass es sich um einen „Anwendungsschichten-Angriff“ gehandelt habe, und zwar um den größten, den die Sicherheitsexperten bis dahin je erfasst hätten.
Um herauszufinden, wie ein Angriff auf Anwendungsschichten ein solches Ausmaß entwickeln konnte, seien die schädlichen „POST“-Anfragen genauer analysiert worden. Es sei ein Skript gefunden worden, dass auf Zufallsbasis große Dateien generiere und versucht habe, diese auf den Server hochzuladen.
Auf diese Weise hätten die Angreifer eine gigantische „HTTP-Flut“ erzeugen können, die aus extrem großen „Content-Length“-Anfragen bestanden habe. Diese hätten zunächst seriös gewirkt, bis die „TPC“-Verbindungen eingerichtet worden seien und die Anfragen von der „Website Protection“, einer Imperva-Lösung für Anwendungsschichten zur Schadensminderung von DDoS, hätten untersucht werden können.

Weitere Informationen zum Thema:

IMPERVA
Defense Center

Das PostKundenForum ist ein Verein, in dem sich Einzelpersonen, Verbände und Unternehmen zusammengeschlossen haben, um als Postkunden für eine leistungsfähige und qualitativ hochwertige Postinfrastruktur in Deutschland einzutreten.
Im Telekommunikationssektor wurde vorgemacht, was im Briefmarkt noch fehlt: Wettbewerb mit positiven Wirkungen für die Kunden. Das PostKundenForum möchte die Interessen privater und gewerblicher Postkunden bündeln und sowohl gegenüber Anbietern von Postdienstleistungen als auch in Politik und Medien vertreten. Dabei sind nicht nur das Preis-Leistungsverhältnis von Postdienstleistungen, sondern auch Service und Kundenorientierung der Postunternehmen von Interesse.

Die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen ist eine selbständige Bundesoberbehörde im Geschäftsbereich des Bundesministeriums für Wirtschaft und Technologie mit Sitz in Bonn. Sie ist Wurzelbehörde nach dem Signaturgesetz.
Ihre Aufgabe ist es, durch Liberalisierung und Deregulierung für die weitere Entwicklung auf dem Elektrizitäts-, Gas-, Telekommunikations-, Post- und seit dem 1. Januar 2006 auch auf dem Eisenbahninfrastrukturmarkt zu sorgen. Zur Durchsetzung der Regulierungsziele ist sie mit wirksamen Verfahren und Instrumenten ausgestattet worden, die auch Informations- und Untersuchungsrechte sowie abgestufte Sanktionsmöglichkeiten einschließen.
Informationen zu Rufnummern-Missbrauch, Spam und Dialer: http://www.bundesnetzagentur.de/enid/09de5c88e9c90ed412437223724c1e79,0/Verbraucher/Rufnummernmissbrauch_-_Spam_-_Dialer_xy.html