Was ist eine HTTP-Flood-Attacke?

Eine HTTP bzw. HTTPS Flood ist eine Form von Distributed-Denial-of-Service-Angriff (DDoS), die einen Webserver oder eine Web-Applikation durch eine Flut von HTTP/S-Anfragen zu überlasten versucht. Solche DDoS-Attacken auf die Anwendungsschicht (Layer 7) zählen heute zu den häufigsten Angriffsformen.

Ablauf einer HTTP Flood Attacke

01

HTTP Flood: eine Definition

Wie der Name schon sagt, „fluten“ Flood-Attacken einen Server so lange mit prozessintensiven Anfragen, bis dieser keine Kapazitäten zur Beantwortung legitimer Anfragen durch Nutzer:innen mehr hat. Während etwa SYN- oder ACK-Flood-Attacken auf der Vermittlungs- und Transportschicht (Layer 3 und 4) erfolgen, zielen HTTP bzw. HTTPS-Flood-Angriffe auf die Anwendungsschicht (Layer 7), um die schwächste Komponente einer Infrastruktur zu penetrieren und so eine Überlastung hervorzurufen. Die Besonderheit: Im Gegensatz zu anderen Angriffen basieren HTTP-Floods auf technisch korrekt formulierten (validen) Anfragen an den attackierten Webserver. Weil die schädlichen HTTP/S-Anfragen fast nicht von regulärem Traffic zu unterscheiden sind, gestaltet sich die Erkennung und Abwehr hier besonders schwierig. Mit der richtigen Schutztechnologie lässt sich aber auch dieses Problem meistern.

02

Wie funktioniert eine HTTP-Flood-Attacke?

Bei einer HTTP-Flood-Attacke beschießen Angreifer einen Webserver mit HTTP-Anfragen, die etwa gezielt Seiten mit großem Ladevolumen aufrufen. Dadurch wird der Webserver letztlich überlastet und kann keine legitimen Anfragen mehr verarbeiten. Die Folge: Die Website oder Web-Applikation ist für Nutzer:innen nicht mehr erreichbar.

Häufig setzen Cyberkriminelle für solche Attacken Botnetze ein, um die Effizienz und Schlagkraft ihrer Angriffe zu maximieren. Die Botnetze bestehen in der Regel aus tausenden gekaperten und dann ferngesteuerten Rechnern und vernetzten Systemen aus dem IoT. Diese bombardieren die Infrastruktur des Ziels so lange parallel mit Anfragen, bis sie unter der Last zusammenbricht. Das Myra SOC (Security Operations Center) hat bereits HTTP-Flood-Attacken beobachtet, bei denen die Zahl der schädlichen Anfragen bis in den mittleren dreistelligen Millionenbereich ging.

03

Was sind die häufigsten Arten von HTTP-Flood-Attacken?

Das Hypertext Transfer Protocol (HTTP) bietet mehrere Methoden, Daten zwischen einem Webbrowser und einer Website auszutauschen. Die mit Abstand am häufigsten verwendeten sind HTTP GET und HTTP POST. Mit einer GET-Anfrage werden Informationen vom Server abgerufen, ohne dabei Daten auf diesem zu verändern. Bei der POST-Methode werden Daten an den Server gesendet und auf diesem verarbeitet, etwa Inhalte eines Webformulars. HTTP-Flood-Attacken machen sich typischerweise diese beiden HTTP-Methoden zunutze:

HTTP GET Flood

Bei einer HTTP-GET-Flood-Attacke ruft der Angreifer (per Botnetz) massenhaft Seiten einer Website auf, die besonders große statische Inhalte wie Bilder enthalten. Diese Dateien müssen dann jedes Mal vom Webserver verschickt werden, was diesen mit der Zeit überlastet. In der Folge kann er keine legitimen Anfragen mehr beantworten und die Website bzw. Web-Applikation wird unerreichbar.

HTTP POST Flood

Bei einer HTTP-POST-Flood-Attacke schickt der Angreifer wiederholt Daten an den Webserver, um mit jeder Anfrage den Ressourcenaufwand auf Serverseite bis zur maximalen Auslastung zu erhöhen. Das hat zur Folge, dass der Server über kurz oder lang keine Antworten mehr generieren kann und so die Webseite bzw. Web-Applikation nicht mehr erreichbar ist. Diese Angriffsvariante ist zwar aufwendiger, aber auch deutlich wirkungsvoller als die recht simplen HTTP-GET-Flood-Attacken. Sie richtet mit ähnlich geringem Ressourceneinsatz noch mehr Schaden an.

04

Wie lassen sich HTTP-Flood-Attacken erkennen?

Statt wie bei anderen Angriffen über Sicherheitslücken in das System einzudringen oder Schadsoftware einzuschleusen, fluten Kriminelle den Server bei HTTP-Flood-Attacken mit validen Anfragen. Da es sich dabei um Standard-URL-Anfragen handelt, ist der Angriffstraffic fast nicht von regulärem Datenverkehr zu unterscheiden. Außerdem können Verkehrsdaten wie Absender (IP-Adresse) oder Client- bzw. UserAgent-Kennung (Browsername) manipuliert und gefälscht sein, was die Identifizierung von Angriffen zusätzlich erschwert.

Um den Angriffs-Traffic zuverlässig von legitimen Benutzeranfragen zu unterscheiden, ist es wichtig, die Anfrageinhalte zu verstehen und in Kontext zu setzen. Moderne Schutzsysteme analysieren dazu alle eingehenden Anfragen, noch bevor sie den Webserver erreichen. Dadurch sind sie in der Lage, auffällige Traffic-Muster automatisch zu erkennen und HTTP-Flood-Attacken frühzeitig abzuwehren.

05

Wie können HTTP-Flood-Attacken mitigiert werden?

Ist der Angriffstraffic erst einmal identifiziert, können die zugehörigen Anfragen rigoros blockiert bzw. verworfen werden. Dadurch stehen dem Webserver weiterhin genügend Ressourcen zur Verfügung, um alle legitimen Anfragen zu beantworten. Anhand eines zusätzlichen Verifikationsprozesses lässt sich sicherstellen, dass nicht versehentlich legitime Anfragen blockiert oder verworfen werden: Als illegitim eingestufte Anfragen können durch das Lösen eines CAPTCHAs ihren Status als legitime Anfrage wiedererlangen. Nach erfolgreicher Überprüfung werden sie an den Webserver weitergeleitet und beantwortet.

In jedem Fall setzt die Abwehr von HTTP-Flood-Attacken Know-how und Technologie voraus, die nur ein DDoS-Schutz auf Anwendungsebene (Layer 7) bietet. Schutzsysteme für die Vermittlungs- und Transportschicht (Layer 3 und 4) erkennen zum Beispiel keinen Unterschied zwischen einem HTTP-GET-Flood-Angriff und einem validen Download. Entsprechend erfordert es zur zuverlässigen Angriffserkennung und Absicherung einer Website oder Web-Applikation einen DDoS-Schutz auf allen relevanten Layern. Nur so können Betreiber angriffsbedingte Störungen und Ausfälle verhindern, die häufig mit Umsatzeinbußen, Image- und Vertrauensverlust einhergehen.

Der Myra DDoS Schutz stellt Unternehmen aller Branchen eine maßgeschneiderte Lösung zum Schutz digitaler Geschäftsprozesse bereit. Die vollautomatisierte Technologie analysiert den eingehenden Traffic in Echtzeit und filtert schädliche Datenströme heraus, noch bevor virtuelle Angriffe einen realen Schaden anrichten. Dank des cloudbasierten Aufbaus gestaltet sich die Implementierung der Schutzlösung schnell und unkompliziert, zusätzliche Hardware oder Software sind nicht erforderlich.