Wie richten Long-Tail-DoS-Angriffe Schaden an?
DoS-Attacken setzen nicht nur auf dicke Bandbreiten. Long-Tail-Angriffe erzeugen nur wenig Traffic und versuchen nicht aufzufallen. Ihre Auswirkungen können aber verheerend sein.
Nur ein detailliertes Monitoring der in einem Unternehmen eingesetzten Webapplikationen kann langfristig ausgerichtete DoS-Attacken (Denial of Service) erkennen. Diese so genannten Long-Tail-Angriffe richten sich gegen die Service-Queues innerhalb der Anwendungen und versuchen, sie zu überlasten.
DoS-Attacken machen weiterhin private Unternehmen als auch Behörden nervös. Der größte bisher verzeichnete Angriff, bei dem rund 1,7 TByte Traffic erzeugt wurden, erfolgte im März 2018 gegen einen TK-Carrier in den USA. Viele Angreifer werden von einer Mischung aus ideologischen und finanziellen Motiven getrieben und richten sich gegen Unternehmen aus allen Branchen. Es ist deswegen unabdingbar, sich kontinuierlich über die aktuellen Trends und neue Angriffsvarianten zu informieren.
So treten etwa seit kurzem langfristig ausgelegte DoS-Attacken auf, die für Unruhe bei Sicherheitsspezialisten sorgen. Anders als ein klassischer DDoS-Angriff (Distributed Denial of Service) nutzt eine Long-Tail-Attacke nur geringe Bandbreiten, die sich gegen die niedrigen Ressourcen-Grenzen miteinander verschachtelter Applikationen richten. Anstatt also einen Server mit einer Flut an Anfragen zu überlasten, die von zahlreichen unterschiedlichen Quellen ausgehen, manipuliert ein Long-Tail-Angriff die Service-Queues innerhalb einer bestimmten Webapplikation, um gesamte Prozesse zu unterbrechen und Dienste zu schädigen.
Wie können sich DoS-Attacken gegen Webanwendungen richten?
Miteinander verschachtelte Web-Anwendungen, so genannte Multi-Tier Web-Apps, bestehen aus mehreren Prozess-Layern. Die Anfrage eines Endnutzers wird zunächst durch einen Webserver entgegengenommen, der sie dann an die Backend-Dienste weiterreicht. Diese Dienste sind immer häufiger Microservices, die anschließend die angeforderten Daten zusammenstellen und an den Nutzer über das Interface zurücksenden.
Solche mehrschichtigen Anwendungen basieren auf unterschiedlichen Systemen und Subsystemen. Jedes dieser Systeme kann von bösartigem Traffic angegriffen werden, der seine Ressourcen komplett ausschöpft, so dass der jeweilige Microservice nicht mehr erreichbar ist. Der Trend geht zwar weiterhin zu Bandbreiten-intensiven DDoS-Attacken. Das Problem bei Long-Tail-Attacken ist allerdings, dass sie nur äußerst schwer zu entdecken sind. Das führt dazu, dass sie möglicherweise über einen längeren Zeitraum unentdeckt bleiben.
Ein umfassendes Application Monitoring ist deshalb ein erster wichtiger Schritt zum Schutz vor diesen und anderen auf die in einem Unternehmen genutzten Anwendungen ausgerichteten Attacken. Dazu werden aber besonders detaillierte Analysen benötigt, um zum Beispiel ungewöhnliche Anstiege bei der Nutzung von CPU-Leistung oder durch versteckte Anfragen erzeugten Traffic zu erkennen. Solche Leistungsspitzen können ein früher Indikator für bestehende und künftige Probleme sein.
Long-Tail-Angriffe sind allerdings in der Praxis nur schwer durchzuführen. Ein Angreifer, der zum Beispiel auf diesem Weg eine E-Commerce-Anwendung im Web unterbrechen will, muss genau wissen, wie die verschiedenen Systeme und Subsysteme miteinander agieren, um zum Erfolg zu kommen. Dazu gehören Kenntnisse, welche Systeme attackiert werden müssen und wie viel Traffic dafür benötigt wird. Nur so kann er Engpässe erzeugen, um die gesamte Applikation in Mitleidenschaft zu ziehen.
Hacker haben in den vergangenen Jahren aber immer wieder bewiesen, dass motivierte Cyberangreifer auch die schwierigsten Hürden nehmen können, um zum Ziel zu kommen. Long-Tail-Attacken stehen eventuell noch nicht ganz oben auf der Prioritätenliste vieler Security-Teams. Sie sollten die Gefahr und die damit möglichen Angriffswege jedoch kennen, um vorbereitet zu sein, falls einer dieser nur schwer zu entdeckenden Angriffe gegen sie ausgeführt wird.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
