DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

DoS: Langsam zum Erfolg

Denial of Service Attacken  legen Server durch eine Vielzahl von Anfragen innerhalb kür­zester Zeit lahm. Ein Tool macht es nun möglich, dass eine Variante dieser Methode künftig auch von leis­tungs­schwachen Rechnern aus­ge­führt werden kann.

Denial of Sevice (DoS) oder Dis­tri­buted Denial of Service (DDoS) sind bekannte Ver­fahren, um einen Server einer Firma lahm­zu­legen. Wer mit seinem Inter­net­auf­tritt Geld ver­dient macht Ver­luste, wenn der Webshop stunden- oder tagelang nicht erreichbar ist (vgl. Interview hier im Blog einem Händler, dessen Online-Shop Opfer einer DDoS-Attacke wurde). Bekannt ist, dass ein DoS-Angriff durch viele Anfragen innerhalb kür­zester Zeit aus­gelöst wird. Wenn dann noch viele Rechner gleich­zeitig – zum Bei­spiel aus einem Bot-Netz – ver­teilt angreifen (DDoS) blo­ckiert das den leis­tungs­stärksten Server, bezie­hungs­weise auch eine optimal auf Daten­durchsatz aus­ge­legte Infra­struktur.

Lang­samer Denial of Service

Relativ neu ist dagegen, dass dies auch ohne großen Aufwand durch einen „lang­samen“ Denial of Service Angriff ohne leis­tungs­starke Rechner möglich ist. Ein Ent­wickler der Security-Firma „Qualys“ (Sergey Shekyan) hat dazu ein neues Tool ver­öf­fent­licht, um Server zu testen („slowhttptest“).
Das Prinzip für den neuen DoS-Angriff ist eigentlich ganz einfach: Es werden http-Anfragen an den Web­server gestellt, aber nur sehr langsam. Das Ganze funk­tio­niert, da laut dem http-Pro­­­tokoll die Anfrage vom Web-Server erst beant­wortet werden kann, wenn die Anfrage voll­ständig über­mittelt wurde. In der Zwi­schenzeit muss der Web­server alle nötigen Res­sourcen für diese eine Ver­bindung bereit­halten. Wenn dann noch viele solcher lang­samen Anfragen gestellt werden, sind alle Res­sourcen des Servers blo­ckiert und reguläre Anfragen können nicht mehr beant­wortet werden. Und: Dieser Angriff erfordert kein Bot-Netz (vgl. Blog­beitrag Bot-Netze: die elek­tro­nische Pan­demie der Zukunft) und keine schnelle Inter­net­ver­bindung, sondern kann von einem ein­zigen Rechner aus durch­ge­führt werden, da nur wenige Daten über­mittelt werden.

Layer-7-http-Angriffe

Ganz neu ist diese Methode aller­dings nicht, da bereits 2009 das Tool „slow­loris“ und 2010 ein wei­teres Tool auf der „OWASP 2010 App­li­cation Security Con­fe­rence“ (OWASP = Open Web App­li­cation Security Project, http://www.owasp.org) vor­ge­stellt wurden, welche nach der gleichen Methode arbeiten. Die Idee alle ver­füg­baren Res­sourcen eines Opfers zu reser­vieren ist auch nicht unbe­dingt neu, da solche Angriffe früher auf den TCP-Stack des Servers (Schicht 4 des ISO-OSI-Modells) durch­ge­führt wurden und unter dem Namen „SYN-Flood“ bekannt wurden. Neu ist nun die Idee dies auf Schicht 7 des ISO-OSI-Modells durch­zu­führen, unter Ver­wendung des http-Pro­­­to­­kolls. Daher werden diese Art der Angriffe auch „Layer-7-http-Angriffe“ genannt.
Für den Betrof­fenen ist es schwierig so einen Angriff über­haupt zu erkennen. Vor­handene Systeme zur Angriffs­er­kennung (IDS/IPS: Intrusion Detection System / Intrusion Pre­vention System) sind bisher nicht dafür aus­gelegt solche lang­samen Ver­bin­dungen zu detek­tieren. Eine Firewall hilft auch nicht weiter. Sie kann viel­leicht noch zu viele Daten­pakte von einer Quelle begrenzen, aber wenn die Pakete einfach nur langsam ankommen? Ein Zeichen für so einen Angriff wären zum Bei­spiel viele offene Ver­bin­dungen am Server, aber das könnte auch ein Zeichen dafür sein, dass viele Kunden gerade ein­kaufen wollen.


Maß­nahmen
Es gibt zumindest einige Punkte die man beachten sollte:

  • Über­wa­chung: Wichtig wäre es, die Res­sourcen seines Web­servers zu über­wachen und natürlich zu alar­mieren, wenn außer­ge­wöhn­liche Last­ver­hält­nisse auf­treten. Dabei sollte vor allem die Zeit­dauer einer bestehenden Ver­bindung im Auge behalten werden.
  • Kon­fi­gu­ra­ti­ons­an­passung des Web­servers: Die ver­wen­deten Web­server sind vor allem anfällig, wenn bei der Kon­fi­gu­ration die Default-Ein­stel­­lungen bei­be­halten werden. Bei genauer Kenntnis des Last­ver­haltens des eigenen Servers können die Para­meter für Timeout, maximale und minimale Anzahl von Ses­sions ange­passt werden. 
  • Mod­Se­curity: Für den weit ver­brei­teten Apache-Web­­server gibt es ein zusätz­liches Modul „Mod­Se­curity“, welches Kon­fi­gu­ra­ti­ons­mög­lich­keiten bietet mit denen man solche DoS-Angriffe abwehren kann.

Erfah­rungs­gemäß führt die Ver­öf­fent­li­chungen neuer Schwach­stellen oder neuer Ideen für Angriffe auch zu inten­siver Arbeit auf zwei Seiten: Die „Bad Guys“ ver­suchen Werk­zeuge zu pro­gram­mieren und zu ver­bessern mit denen die Lücke bezie­hungs­weise die Idee effi­zient aus­ge­nützt werden kann. Die „Good Guys“ ent­werfen Sicher­heits­systeme, um gerade das zu ver­hindern. Was auch zuerst kommen wird, es bleibt spannend.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Roland Wagner, DATEV eG

Dipl. Inf. (Univ); OSSTMM Pro­fes­sional Security Tester (OPST zer­ti­fi­ziert seit 2011). Roland Wagner ist seit 1999 bei der Datev im Umfeld Inter­net­dienste und IT-Security tätig. Hier beschäftigt er sich haupt­sächlich mit Sicher­heits­un­ter­su­chungen und IT-Forensik.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.