Akamai unterstützt und schützt das digitale Leben. Führende Unternehmen weltweit setzen bei der Erstellung, Bereitstellung und beim Schutz ihrer digitalen Erlebnisse auf Akamai. So unterstützen wir täglich Milliarden von Menschen in ihrem Alltag, bei der Arbeit und in ihrer Freizeit. Akamai Connected Cloud, eine stark verteilte Edge- und Cloudplattform, bringt Anwendungen und Erlebnisse näher an die Nutzer und hält Bedrohungen fern.
Ein Low-and-Slow-Angriff ist eine Art DoS-Angriff (Denial of Service), der dazu dient, Erkennungsmechanismen zu umgehen. Dabei senden Angreifer Anwendungstraffic oder häufig auch HTTP-Anfragen, die legitim erscheinen, aber eine sehr langsame Volumenrate aufweisen. Diese auch als Slow-Rate-Angriffe bekannten Low-and-Slow-Angriffe erfordern wenig Bandbreite und können von einem einzelnen Computer oder über ein Botnet gestartet werden. Der Traffic ist bei einem solchen Angriff schwer zu erkennen, da es sich scheinbar um legitimen Layer-7-Traffic des OSI-Modells (Anwendungsebene) handelt, der so langsam gesendet wird, dass keine volumetrischen Sicherheitswarnungen ausgelöst werden.
Auch bei Brute-Force-Angriffen können Low-and-Slow-Methoden angewandt werden. Dabei wird versucht, unbefugten Zugriff auf ein Konto oder System zu erlangen, indem der Nutzername und das Kennwort relativ langsam erraten werden. Auf diese Weise wird eine Erkennung oder die Auslösung einer Sperre vermieden. Für solche Angriffe nutzen Angreifer große Netzwerke infizierter oder kompromittierter Hosts, die in der Regel Tausende bis Millionen von Bots umfassen.
Was ist ein DoS- oder DDoS-Angriff?
DoS-Angriffe (Denial of Service) und DDoS-Angriffe (Distributed Denial of Service) zielen auf Server, Websites, Anwendungen oder Netzwerke ab und überschwemmen diese mit schädlichem Traffic. Durch das Senden von Traffic oder Anfragen, die letztendlich die Verarbeitungskapazität, Bandbreite oder Speicherressourcen eines Servers erschöpfen, werden betroffene Geräte langsamer oder stürzen ab, sodass sie für gültigen Traffic und legitime Nutzer nicht mehr zur Verfügung stehen. Bei DoS-Angriffen wird ein einziges Gerät genutzt, um Traffic zu generieren. Bei DDoS-Angriffen werden Tausende oder Millionen von mit Malware infizierten Geräten eingesetzt, die unter der Kontrolle von Cyberkriminellen stehen.
Wie funktionieren Low-and-Slow-Angriffe?
Im Gegensatz zu anderen DoS-Angriffen, die einen Server innerhalb kurzer Zeit mit massiven Trafficmengen bombardieren, senden Low-and-Slow-DDoS-Angriffe kleine Mengen an schädlichem Traffic an das Ziel. So sollen plötzlich auftretende Spitzen vermieden werden, die Sicherheitswarnungen auslösen könnten. Bei dieser Art von Angriff wird Traffic an Thread-basierte Webserver gesendet und an jeden Thread werden langsame Anfragen geknüpft. Wenn dies in einem immer größer werdenden Maßstab geschieht, wird der Server schließlich daran gehindert, auf legitimen Traffic zu reagieren. Low-and-Slow-Angriffe konzentrieren sich häufig auf HTTP, können aber auch TCP-Sitzungen mit langsamen Übertragungsraten umfassen, die an beliebige TCP-basierte Services gerichtet sind.
Warum sind Low-and-Slow-Angriffe effektiv?
Low-and-Slow-Angriffe sind effektiv, da sie von Angriffserkennungssystemen übersehen werden. Da der an Server gesendete Traffic mit einer sehr langsamen Rate Pakete erstellt, ist es schwierig, ihn von legitimem Traffic zu unterscheiden. Indem die Rate der an einen Server gesendeten Anfragen begrenzt wird, können Low-and-Slow-Angriffe Ratenschutzmechanismen umgehen, die üblicherweise zur Erkennung und Blockierung herkömmlicher DDoS-Angriffe verwendet werden.
Welche Arten von Low-and-Slow-Angriffen werden häufig eingesetzt?
Folgende drei Angriffsarten zählen zu den häufigsten Low-and-Slow-Angriffen:
- Slowloris. Ein Slowloris-Angriff stellt eine Verbindung zu einem Server her und sendet langsam Teile von HTTP-Headern. Dadurch hält der Server die Verbindung offen, während er auf den Rest des Headers wartet. Indem die maximale Anzahl der auf dem Server verfügbaren Verbindungen ausgeschöpft wird, werden schließlich die Ressourcen des Servers durch den Slowloris-Angriff überlastet. So wird verhindert, dass er auf legitime Nutzer reagiert.
- Sockstress. Ein Sockstress-Angriff nutzt Schwachstellen im TCP/IP-Dreiwege-Handshake aus, um eine unbestimmte Verbindung herzustellen.
- R.U.D.Y. Diese Angriffsart (Akronym für R-U-Dead-Yet?) generiert HTTP-POST-Anfragen, um Formularfelder auszufüllen. Da die schädlichen Anfragen nicht aussagen, wie viele Daten zu erwarten sind, und die Daten dann sehr langsam senden, hält der Server die Verbindungen offen und geht davon aus, dass weitere Daten eintreffen.
Wie lassen sich Low-and-Slow-Angriffe am besten abwehren?
Um Low-and-Slow-Angriffe zu verhindern, müssen Cybersicherheitsteams einen mehrschichtigen Ansatz zur Risikominderung implementieren.
- Verhaltensanalyse. Durch die Analyse normaler Trafficmuster und die kontinuierliche Überwachung des Trafficverhaltens in Echtzeit können Sicherheitsteams Anomalien bemerken, die auf einen Low-and-Slow-Angriff hinweisen.
- Echtzeit-Überwachung. Durch die Überwachung von Ressourcen wie CPU, Speicher, Anwendungsstatus, Verbindungstabellen, Anwendungs-Threads und weitere Ressourcen können Anomalien aufgedeckt werden, die auf einen laufenden Angriff hinweisen.
- Mehr Verbindungen. Durch eine verbesserte Serververfügbarkeit und das Hinzufügen weiterer Verbindungen wird es für einen Low-and-Slow-Angriff schwieriger, die Ressourcen eines Servers zu überlasten.
- Reverse-Proxy-basierter Schutz. Dieser Ansatz verhindert Low-and-Slow-Angriffe, bevor sie den Ursprungsserver erreichen.
- Bereitstellung von DDoS-Abwehr- und -Schutzlösungen. DDoS-Schutzlösungen von Akamai bieten verschiedene Technologien zur Erkennung und Abwehr von Angriffen wie z. B. Web Application Firewalls.