Sie sind an Cloud Computing interessiert? Legen Sie jetzt los

Was ist ein Slowloris-DDoS-Angriff?

Slowloris-DDoS-Angriffe erläutert

Ein Slowloris-DDoS-Angriff ist eine Art verteilter Denial-of-Service-Angriff, der sich gegen Layer 7 des OSI-Modells richtet. Diese Art von Cybermissbrauch wurde entwickelt, um einen einzelnen Computer, Webserver, eine Datenbank oder eine API zu überlasten, indem viele gleichzeitige TCP-Verbindungen zu einem Ziel-FQDN geöffnet und aufrechterhalten werden und so eine geringe Rate und/oder ein Volumen für HTTP-Anfragen oder HTTP-Verbindungen pro verbundener Sitzung erreicht wird. Einige angreifende IPs unternehmen viele TCP-Verbindungsversuche und verwenden diese zusätzlichen offenen Verbindungen oder Sitzungen, um eingehende Anfragen zu kombinieren, um Anwendungs- oder Datenbankressourcen zu überlasten. Ein Slowloris-Angriff, der nach dem langsamen Loris, einem langsamen asiatischen Primaten, benannt ist, kann eine längere Zeit andauern, wenn er nicht entdeckt wird. Slowloris-Angriffe wurden über bekannte Angriffswerkzeuge wie HOIC (High Orbit Ion Cannon) und LOIC (Low Orbit Ion Cannon), die von Anonymous, der iranischen Regierung, Killnet und anderen Gruppen von Cyberkriminellen verwendet wurden, in den Mainstream eingeführt. Heute sehen wir, dass auch andere böswillige Akteure die gleichen Techniken nutzen, jedoch mit allgemein modernisierter und Command-and-Control-Infrastruktur.

Was soll ein Slowloris-DDoS-Angriff bewirken?

Diese Art von DDoS-Angriff ist eine einfache, aber elegante Methode, mit der ein Angreifer einen Webserver mit sehr wenig Aufwand offline nehmen kann. Die Erkennung und Steuerung von Bekämpfungsmaßnahmen machen Denial-of-Service-Angriffe zu komplexen Bedrohungen. Ein Slowloris-Angriff kann mit minimaler Bandbreite implementiert werden. Er wird in der Regel in Python geschrieben und hat sich gegen viele Arten von Webserver-Software, insbesondere Apache 1.x und 2.x, als äußerst effektiv erwiesen. Diese Angriffe dieser Art sind so konzipiert, dass sie wie legitime Anfragen aussehen und Abwehrfilter umgehen. 

Im Gegensatz zu bandbreitenintensiven, reflexionsbasierten DDoS-Angriffen verbraucht Slowloris Serverressourcen mit HTTP-Anfragen, die langsamer als gewöhnlich erscheinen, aber ansonsten wie standardkonformer Traffic aussehen. Angreifer nutzen eine einzigartige Funktion des HTTP-Protokolls aus: die Möglichkeit für Clients, GET- oder POST-HTTP-Anfragen in mehrere Pakete oder Sitzungen aufzuteilen. Angreifer nutzen Slowloris, um Webserver gezielt anzugreifen, indem sie mehrere Verbindungen öffnen und sie so lange wie möglich offen halten. Dies wird durch die Verteilung von HTTP-Anfragen über global unterschiedliche Botnet-IP-Adressen und Multithreading-TCP-Verbindungen pro Quelle erreicht. Um die Verbindung offen zu halten, kann die Slowloris-Software HTTP-Header für jede Anfrage senden, kurz bevor eine TCP-Verbindung abläuft, was zu einem Denial-of-Service führt. Schließlich erreicht der angegriffene Server den Grenzwert seines gleichzeitigen Verbindungs-Pools und kann keine weiteren Anforderungen mehr verarbeiten, woraufhin die Beantwortung von Anfragen anderer, legitimer Services effektiv verhindert wird. Es gibt ggf. auch andere Netzwerkinfrastruktur, die von Slowloris-DDoS-Angriffen betroffen sein kann, z. B. Local Traffic Manager (LTMs) oder andere Technologien, die das TCP-Sitzungsmanagement verwalten.

Warum ist ein Slowloris-DDoS-Angriff effektiv?

Ein Slowloris-DDoS-Angriff wird als Distributed Denial of Service eingestuft und kann von herkömmlichen Angriffserkennungssystemen nicht erkannt werden, weil legitime HTTP-Anfragepakete mit niedrigen Raten von Anfragen pro Sekunde gesendet werden, anstatt dass große Mengen oder hohe Raten von HTTP-Anfragen pro Sekunde eingehen würden. Dazu kommt, dass die Protokolldatei erst nach Abschluss einer Anfrage geschrieben werden kann und Slowloris so einen Server für einen bestimmten Zeitraum außer Betrieb setzen kann, ohne dass ein einzelner Eintrag in die Protokolldatei geschrieben würde, der ein Warnsignal für die Betreiber darstellt.

Was unterscheidet einen Slowloris DDoS-Angriff von einem herkömmlichen DDoS-Angriff auf Anwendungen?

Herkömmliche DDoS-Angriffe auf Anwendungen sollen einen Server offline nehmen, indem sie ihn mit einer überwältigenden Anzahl von HTTP-Anfragen überfluten, was erhebliche Ressourcen des Angreifers erfordert. Im Gegensatz dazu kann ein Slowloris-Angriff anstatt Zehntausender HTTP-Anfragen über einen dauerhaften Zeitraum nur wenige hundert Anfragen in langen, niedrigen und regelmäßigen Abständen erfordern. Bandbreite ist kein Schlüsselwert zur Erkennung dieser Art von DDoS. Stattdessen sollten Sicherheitsteams die standardmäßige Anzahl von Verbindungsversuchen, offenen Verbindungen, Verbindungs-Pools, eingehenden HTTP-Anforderungen, teilweisen HTTP-Anfragen, die maximale Anzahl zulässiger Verbindungen pro Quell-IP-Adresse, Load Balancer, die Sitzungstabellen verwalten, Infrastruktur für die Webserverprotokollierung und andere Netzwerk- oder Systempfade in der gesamten DMZ bewerten.

Was ist der beste Weg, um einen Slowloris-Angriff zu stoppen?

Slowloris-Angriffe können wie folgt abgemildert werden:

  • Begrenzen der Anzahl der Verbindungen, die eine einzelne IP-Adresse zum Öffnen anfordern kann.

  • Erhöhung der für jede Verbindung zulässigen Mindestübertragungsgeschwindigkeit.

  • Begrenzung der Zeit, die ein Client verbunden bleiben darf.

  • Erhöhen der maximalen Anzahl von Clients, die der Server zulässt.

  • Bereitstellung leistungsstarker Cloud-Angriffsbekämpfungsdienste, Konfiguration zuverlässiger Load Balancer, Verwendung von Web Application Firewalls (WAFs) oder anderen virtuellen Patching-Techniken und Begrenzung der Anzahl der Anfragen pro Quelle.

Wie wird ein Slowloris-Angriff durchgeführt?

Ein Slowloris-Angriff wird in vier Schritten durchgeführt:

  • Der Angreifer sendet Command-and-Control-Anweisungen an sein Botnet oder seine Reverse-Proxys, welche wiederum mehrere HTTP-Anfragen, randomisierte Header und andere Umgehungsverfahren nutzen, während über seine globalen Netzwerke mehrere Verbindungen zu einem Zielserver geöffnet werden.

  • Der Zielserver öffnet für jede Anfrage eine TCP-Verbindung und plant, den Thread zu schließen, sobald die HTTP-Anfrage abgeschlossen ist. Der Server legt eine Zeitüberschreitung für eine übermäßig lange Verbindung fest, um den Thread für nachfolgende Anforderungen freizumachen.

  • Um eine Zeitüberschreitung von Threads zu verhindern, sendet der Angreifer in Abständen partielle Anfrageheader oder zusätzliche HTTP-Anfragen, um den Zielwebserver am Laufen zu halten, und verleitet den Server so, auf den Abschluss der HTTP-Anfrage zu warten.

  • Während auf weitere HTTP-Anfragen und den Start der TCP-Verbindungen gewartet wird, gehen dem angegriffenen Server schließlich die verfügbaren Verbindungen aus und er kann nicht mehr auf Anfragen aus dem legitimem Traffic reagieren, was zum Denial-of-Service führt.

Warum treten Slowloris-DDoS-Angriffe auf?

Cyberkriminelle können einen Angriff starten, um die Website eines Rivalen oder Feindes zu stören, als Teil einer politischen Hacktivismus-Kampagne oder um die Aufmerksamkeit von anderen, gefährlicheren Sicherheitsverletzungen, die gleichzeitig im Gange sind, abzulenken (sogenannte Smokescreen-Angriffe). Dieser Angriff wird auch häufig verwendet, weil es schwierig ist, eine Signatur und Rate des Angriffs zu erkennen. Die Implementierung einer Risikominderung für diese Arten von Angriffen kann zu hohen Rate von False Positives führen und sich auf das Nutzererlebnis auswirken, wenn auf verschiedene Module des Webservers oder der Webanwendung zugegriffen wird.

Erhöhen Sie Ihre Widerstandsfähigkeit gegen komplexe DDoS-Bedrohungen mit Akamai

Mithilfe der am meisten verteilten Computing-Plattform – von der Cloud bis zur Edge – unterstützt Akamai Unternehmen dabei, Anwendungen zu entwickeln und auszuführen. So bleiben die Erlebnisse nahe beim Nutzer und Bedrohungen werden ferngehalten. Zusammen mit unseren Computing- und Bereitstellungslösungen unterstützt auch unsere Produktreihe führender IT-Sicherheitswerkzeuge globale Unternehmen dabei, das Leben von Milliarden von Menschen täglich milliardenfach zu verbessern.

Unsere Sicherheitslösungen verhindern und bekämpfen DDoS-Angriffe durch ein transparentes Mesh aus dedizierten Edge-, verteilten DNS- und Cloud-Scrubbing-Abwehrmechanismen. Diese speziell entwickelten Cloud-Lösungen wurden entwickelt, um Angriffsflächen zu reduzieren, die Qualität und die Angriffsbekämpfung zu verbessern und zugleich False Positives zu reduzieren und die Effektivität der Verteidigung zu erhöhen. Dank der Kapazität, der Erfahrung und des vielfältigen und ausgereiften Technologie-Stacks können sich unsere Kunden auf unsere 100%ige Plattformverfügbarkeit und branchenführende SLAs zur Risikominderung verlassen.

App & API Protector bietet einen ganzheitlichen Satz leistungsstarker Schutzmaßnahmen mit kundenorientierter Automatisierung. Diese Lösung bietet einige der fortschrittlichsten Automatisierungslösungen für die Anwendungssicherheit, die derzeit auf dem Markt erhältlich sind, ist aber dennoch einfach zu bedienen. Eine neue adaptive Sicherheits-Engine und branchenführende Kerntechnologien ermöglichen DDoS-Schutz, API-Sicherheit, Botabwehr und eine Web Application Firewall in einer nutzerfreundlichen Lösung. 

Prolexic stoppt DDoS-Angriffe jeder Größe mit schneller, hocheffektiver Abwehr. Prolexic bietet ein Null-Sekunden-SLA für die DDoS-Abwehr, reduziert proaktiv Angriffsservices und passt die Risikominderungskontrollen an den Netzwerk-Traffic an, um Angriffe sofort zu blockieren. Ein vollständig verwaltetes SOCC ergänzt Ihre bestehenden Cybersicherheitsprogramme und hilft Ihnen, die Zeit bis zur Lösung durch bewährte Nutzererlebnisse zu erhöhen.

Web Application Protector schützt Webanwendungen und APIs ohne zusätzlichen Aufwand, da Bedrohungen mithilfe von Crowdsourcing-Informationen erkannt werden. Dynamischer Schutz und selbstoptimierendes Machine Learning reduzieren Aufwand und False Positives. Diese Lösung von Akamai bietet eine sekundenschnelle DDoS-Abwehr als Reaktion auf Angriffe auf Anwendungsebene.

Edge DNS verhindert DNS-Ausfälle mit der größten Edge-Plattform, damit Unternehmen sich auf eine garantierte, unterbrechungsfreie DNS-Verfügbarkeit verlassen können. Edge DNS ist eine cloudbasierte Lösung, die täglich rund um die Uhr die Verfügbarkeit von DNS gewährleistet sowie gleichzeitig die Reaktionsfähigkeit verbessert und vor den größten DDoS-Angriffen schützt.

Warum entscheiden sich Kunden für Akamai?

Akamai ist das Unternehmen für Cybersicherheit und Cloud Computing, das das digitale Leben unterstützt und schützt. Unsere marktführenden Sicherheitslösungen, überlegene Threat Intelligence und unser globales Betriebsteam bieten umfassende Abwehrmaßnahmen, um die Daten und Anwendungen von Unternehmen überall zu schützen. Die Cloud-Computing-Lösungen von Akamai bieten als Full-Stack-Gesamtpaket Performance und erschwingliche Preise auf der weltweit am stärksten verteilten Plattform. Globale Unternehmen vertrauen auf Akamai für die branchenführende Zuverlässigkeit, Skalierbarkeit und Expertise, die sie benötigen, um ihr Geschäft selbstbewusst auszubauen.

Zugehörige Produkte


Prolexic

Stoppen Sie DDoS-Angriffe jeder Größe mit schneller, hocheffektiver Abwehr.


Edge DNS

Hochsicheres DNS sorgt für unterbrechungsfreie Verfügbarkeit von Web-Apps und APIs.


App & API Protector

Kompromisslose Sicherheit für Websites, Anwendungen und APIs aus einer Hand.


Zusätzliche Ressourcen


Abwehr von DDoS-Angriffen in Hybrid-Cloud-Umgebungen

E-Book: Abwehr von DDoS-Angriffen in Hybrid-Cloud-Umgebungen

DDoS-Schutz ist nicht gleich DDoS-Schutz. Warum viele Cloudservice-Provider keinen ausreichenden Schutz bieten und worauf Sie achten sollten.


DDoS-Bedrohungen in EMEA 2024

Unsere neuesten Forschungsergebnisse liefern Ihnen das Wissen, das Sie brauchen, um sich besser vor zunehmenden DDoS-Angriffen in EMEA zu schützen.


Was kann eine Analyse des schädlichen DNS-Traffics über das Risiko von Unternehmen aufzeigen?

Die C2-Analyse der Angriffe über die Datenautobahn zeigt die Angreifer von Unternehmen auf

DNS ist eine der ältesten Internetinfrastrukturen. Jedoch durchläuft eine unglaubliche Menge an Angriffstraffic dieses System. Einzelheiten zu den häufigsten Bedrohungen und mehr finden Sie in diesem Bericht.


Zugehörige Seiten

Weitere Informationen zu zugehörigen Themen und Technologien finden Sie auf den unten aufgeführten Seiten.

Entdecken Sie alle Akamai Security Solutions