Was ist eine HTTP-Flood-Attacke?

Eine HTTP-Flood-Attacke ist eine besondere Form der DDoS-Attacken (Distributed Denial of Service). Hierbei versucht man die Webseite oder Applikation durch eine Vielzahl an Besuchen von verschiedenen Stellen zum Absturz zu bringen. Eine HTTP-Flood-Attacke wird oft auch als Layer-7-Attacke bezeichnet. Mit Layer 7 ist der „Application Layer“ im OSI-Modell gemeint. Das Modell besagt, dass das Internet aus sieben Schichten besteht.

Eine Attacke in dieser Schicht besteht immer darin, dem Netzwerk oder dem Server die Ressourcen zu entziehen. Sobald die Hardware nicht mehr genügend Ressourcen zur Verfügung hat, wird die Beantwortung der Anfragen durch den Client mehr Zeit benötigen. Da weiterhin unzählige Anfragen an die Hardware gestellt werden, wird eine ständige Überlastung des Systems erzeugt und der Server oder das gesamte Netzwerk ist nicht mehr erreichbar.

Wenn Angreifer eine HTTP Flood einsetzen, versuchen sie einen Server-Crash über ganz gewöhnliche Anfragen herzuleiten. Wie werden die HTTP-Methoden zu gefährlichen Attacken?

Da es durchaus vorkommen kann, dass eine Seite temporär viel Traffic erhält, ist es schwierig zu entscheiden, ob die gestiegene Anfragemenge eine Attacke darstellt oder nur das Ergebnis einer gelungenen Marketing-Kampagne ist. Wenn jedoch eine HTTP-Flood-Attacke festgestellt wurde, können Firewalls die verdächtigen IP-Adressen kennzeichnen und blockieren.

Als ersten Schritt kann man in einer solchen Situation eine sogenannte JavaScript Computational Challenge an den Client zurücksenden. So lässt sich einfach analysieren, ob der Client zu einem Botnet gehört oder ein regulärer Nutzer ist. Im Gegensatz zum Bot kann jeder Browser eines normalen Website-Besuchers diese zusätzliche Hürde bearbeiten.

Wenn die Vorgehensweise der Attacke bekannt ist, können im Firewall-System einfache Regeln eingeführt werden, die die IP-Adressen des Botnets automatisch blockieren. Normalerweise kann eine HTTP Flood in wenigen Minuten erkannt und gestoppt werden, wenn man weiß, dass dies die Ursache für den Systemausfall ist.

Es ist sehr schwer, sich vor einer HTTP-Flood-Attacke zu schützen, da die Anfragen zunächst wie normaler Traffic auf der Webseite aussehen. Es wird keine Malware an den Server gesendet und es wird auch nicht versucht, eventuelle Sicherheitslücken zu nutzen. Stattdessen fluten die Angreifer den Server mit erlaubten Zugriffen. Da dies bedeutend weniger Bandbreite verbraucht als ein gewaltvolles Eindringen in den Code der Seite, sind die Attacken in den Anfängen meist unerkannt.

Die meisten Webseiten setzen auf einen Captcha-Test, der manuell durch einen echten Nutzer ausgeführt werden muss. Dadurch ist ein Botnet im Vorfeld zu erkennen, und die IP-Adressen können blockiert werden. Es gibt aber auch Firewalls für Websites und Applikationen. Diese Systeme überprüfen und analysieren den Traffic, der auf der Website eingeht. Die Seite wird dadurch nur minimal verlangsamt, dafür wird jedoch ihr Schutz und ihre Stabilität gewährleistet. Sollte die Seite an sich schon daten- und prozessintensiv sein, bietet es sich an, einen Ladebildschirm zu integrieren, während die Hauptseite im Hintergrund geladen wird.