Am 1. Juni dieses Jahres eignete sich der größte Layer-7-DDos Angriff jemals. Ziel des Angriffs war ein Kunde von Google, welcher seine Infrastruktur mit Google Cloud Armor schützt. Der Angriff erstreckte sich zwar über 69 Minuten, allerdings blieb er erfolglos.
Was ist ein Layer-7-DDoS Angriff?
DDoS-Angriffe gehören zu den Cyberangriffen. Die Abkürzung DDoS kommt aus dem Englischen und bedeutet Distributed Denial of Service. Übersetzen wir dies, erhalten wir verteilte Nichtverfügbarkeit von Diensten. Und nichts anderes ist der Kern von DDos-Attacken. Somit ist das Ziel einer Attacke, Dienste des Opfers ausfallen zu lassen oder schwer nutzbar zu machen. Angreifer überlasten bei ihren Attacken das Netzwerk ihres Ziels so sehr, dass die Dienste einknicken – wenn sie nicht geschützt sind.
So kann Lösegeld erpresst, Informationen vertuscht oder hassmotivierter Schaden angerichtet werden.
Layer 7 bezieht sich dann noch auf das OSI-Schichtenmodell und beschreibt eine DDos-Attacke genauer. Bei einem Layer-7-DDos Angriff werden Dienste der OSI-Schicht 7, der Anwendungsschicht angegriffen. Beispiele sind somit HTTP-GET-Flood- oder POST-Floos-Attacken. Bei einer HTTP-GET-Flood-Attacke ist das Ziel ein Webserver. Angreifer fluten diesen Server mit HTTP-Anfragen, wodurch dieser ausfallen soll.
Auch der DDos Angriff auf den Googel-Kunden war ein HTTPS-Layer-7-DDoS-Angriff.
Der größte Layer-7-DDoS Angriff jemals
Der Angriff begann langsam. Gegen 9:45 Uhr sendete der Angreifer etwa 10.000 Anfragen pro Sekunde. Dieser Wert verzehnfachte sich allerdings innerhalb von acht Minuten auf 100.000. Allerdings war bei 100.000 der Höhepunkt des Angriffs noch lange nicht erreicht. Um 10:18 Uhr explodierte der Wert der Anfragen vom vorherigen Bereich um 100.000 auf mehrere Millionen Anfragen pro Sekunde. In der Spitze betrug die Zahl an HTTPS-Anfragen 46 Millionen pro Sekunde. Dies entspricht den täglichen HTTPS-Anfragen von Wikipedia, komprimiert auf 10 Sekunden! Hierzu eine Grafik, die den Verlauf der Anfragen in der Spitze zeigt.
Nach 2 Sekunden im Millionenbereich der HTTPS-Anfragen und insgesamt 1 Stunde und 9 Minuten Dauer endete der DDoS-Angriff.
Grund ist, dass Google Cloud Armor den Angriff abwehren konnte. Somit sah der Angreifer keine Chance, den Dienst ausfallen zu lassen, auch wenn dieser weiter HTTPS-Anfragen senden würde.
Abwehr des Angriffs
Es war von zentraler Bedeutung, dass Google Cloud Armor den Angriff früh erkannt hat. Bereits am Anfang des Angriffs, als die Anfragen im Bereich von 10.000 bis 100.000 pro Sekunde lagen. Somit konnte zu einem Zeitpunkt als die Verfügbarkeit des Dienstes noch nicht in Gefahr war, eine Warnung generiert werden. Hierbei wurde die Angriffssignatur übermittelt und die Empfehlung, diese zu blockieren. Zu diesem Moment war sich Google Cloud Armor zu 99,13 % sicher, dass es sich um einen bösartigen Angriff handelt.
Es benötige also eine frühe Erkennung, die Warnung und die Entscheidung, die Signatur zu blockieren, um Schlimmeres zu verhindern. Hierfür dienten die im Vorhinein richtig konfigurierten Cloud Armor-Sicherheitsrichtlinien als Grundlage, auf der Cloud Armor arbeitete.
Die Dienste, welche Ziel des Angriffs waren, blieben konstant uneingeschränkt verfügbar. Somit war der Angriff erfolglos, trotz der immens hohen Zahl an Anfragen.
Bei Fragen oder Anregungen zum Thema Zero Trust Security, IT-Security oder Security Governance stehen wir Ihnen gerne beratend zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.
