ake78 (3D & photo) - Fotolia
Wie unterscheiden sich DDoS-Angriffe auf den Ebenen?
Heutzutage genügt es nicht mehr, sich auf nur eine Art von DDoS-Attacken vorzubereiten. Angriffe geschehen nicht mehr nur auf dem Netzwerk-, sondern auch auf dem Application-Layer.
Ein DDoS-Angriff (Distributed Denial of Service) ist nichts anderes als eine Methode, um einen Dienst durch eine Flut an legitimen oder auch nicht legitimen Anfragen aus zahlreichen unterschiedlichen Quellen zum Stillstand zu bringen. Das Ziel dabei ist, das angegriffene Gerät mit so vielen Anfragen zu überlasten, dass es nicht mehr normal arbeiten kann.
DDoS-Angriffe auf dem Netzwerk-Layer versuchen, das Opfer durch eine Überlastung der gesamten zur Verfügung stehenden Bandbreite in die Knie zu zwingen. Schutzmaßnahmen gegen diese Art von Attacken wurden bislang vor allem am Rand des Netzwerks, dem Edge, eingerichtet. Meist werden dafür Next-Generation Firewalls (NGFW) und IPS-Systeme (Intrusion Prevention) genutzt. Sie bieten einen gewissen Schutz vor DDoS-Attacken, sobald die Zahl der Anfragen aber zu groß wird, sind sie ebenfalls machtlos.
Heutzutage ist es deswegen für gefährdete Unternehmen üblich geworden, auf die Ressourcen von Cloud-Security-Diensten zurückzugreifen, die über High-Capacity-Netzwerke verfügen, die auch mit den teils gigantischen Datenmengen bei großen DDoS-Attacken umgehen können.
Diese Dienste sind so ausgelegt, dass sie auch im Fall eines sehr großen Angriffs über genug Ressourcen verfügen, um legitime Daten an die Server der Kunden weiterzuleiten, während unerwünschte Datenpakete automatisch verworfen werden. Bei lokalen Systemen ist das irgendwann nicht mehr möglich. Sie werden sozusagen überrannt. Die in der Cloud verwendete Architektur sorgt jedoch dafür, dass die Gefahr eines möglichen Engpasses näher an die Quelle des Angriffs bewegt wird. Dort kann sie besser bekämpft werden, ohne dass es dabei gleich zu gravierenden Einbußen der Performance im Unternehmen kommt.
Wie der Application-Layer funktioniert
Es gibt allerdings auch DDoS-Angriffe, die auf dem Application-Layer abzielen und die nicht rein auf die Überlastung der zur Verfügung stehenden Bandbreite setzen. Stattdessen gehen sie gegen den Application-Layer vor (Layer 7 im OSI-Modell), auf dem die Dienste laufen, mit denen die Endanwender kommunizieren wollen. Deswegen sind hier auch die Server, Serverapplikationen und Backend-Ressourcen das eigentliche Ziel. Ausgewählte Services sollen dabei so überlastet werden, dass sie kaum noch oder gar nicht mehr antworten können.
DDoS-Angriffe auf dem Application-Layer sind schwieriger zu identifizieren und zu bekämpfen als Attacken auf dem Netzwerk-Layer.
Zu den häufiger verwendeten Methoden zum Schutz gehören CAPTCHAs (Completely Automated Public Turing test to tell Computers and Humans Apart), um Menschen von angreifenden Bots unterscheiden zu können. Darüber hinaus ist auch eine Web Application Firewall (WAF) geeignet, um fortgeschrittene Angriffe auf dem Application-Layer abzuwehren.
Eine typische WAF verwendet dabei vom Hersteller bereitgestellte Signaturen, um besser zwischen menschlichen und durch Bots ausgelösten Anfragen unterscheiden zu können. Eine Web Application Firewall kann entweder On-Premises oder auch mit Hilfe eines Cloud-Security-Providers implementiert werden.