BLOG | NGINX

NGINX App Protect Denial of Service blockiert DoS-Angriffe auf Anwendungsebene

NGINX-Teil-von-F5-horiz-schwarz-Typ-RGB
Yaniv Sazman Miniaturbild
Yaniv Sazman
Veröffentlicht am 06. Juli 2021

Während die digitale Transformation das Geschäftspotenzial steigert, vergrößert sie leider auch die Bedrohungslandschaft. Während die Sicherheitsteams damit beschäftigt sind, sich auf den zunehmenden Umfang und die zunehmende Verantwortung einzustellen, machen sich Angreifer diese Situation zunutze und missbrauchen Anwendungen immer raffinierter, um sich finanziell zu bereichern. Im Vergleich zu herkömmlichen Denial-of-Service-Angriffen (DoS) auf Netzwerkebene nehmen DoS-Angriffe auf Anwendungsebene ( Schicht 7 ) stark zu. Dies liegt vor allem daran, dass sie herkömmliche Abwehrmaßnahmen umgehen können, die nicht für moderne Anwendungsarchitekturen ausgelegt sind.

Aus Sicht der Angreifer haben Layer-7-DoS-Angriffe zwei wertvolle Eigenschaften: Sie erfordern nur sehr wenige Ressourcen, um erhebliche Störungen zu verursachen, und sie sind schwer zu erkennen. Solche Angriffe werden durch den Einsatz hochentwickelter Tools und präzise gezielter Anfragen generiert und stören Anwendungsserver und APIs, indem sie diese daran hindern, legitime Anfragen zu verarbeiten. Wenn ein Server mit mehr Anfragen bombardiert wird, als er verarbeiten kann, verwirft er berechtigte Anfragen, reagiert nicht mehr oder stürzt sogar ab.

Herkömmliche Lösungen zur DoS-Minderung sind für moderne Apps nicht effektiv. Sie bieten statische, regelbasierte Sicherheit und erfordern kontinuierliche Wartung, um mit dem Tempo der Änderungen und Aktualisierungen in der modernen App-Landschaft Schritt zu halten.

Einführung von NGINX App Protect DoS

NGINX App Protect Denial of Service (DoS) ist ein neues leichtes dynamisches Modul für NGINX Plus, das moderne Anwendungen vor den raffiniertesten Anwendungs-DoS-Angriffen schützen soll. NGINX App Protect DoS mildert Angriffe, deren Ziel die Unterbrechung und Beschädigung von Anwendungen ist. Dadurch wird eine kontinuierliche Leistung und Umsatzgenerierung sichergestellt und die Kundentreue und Marke in einer hart umkämpften digitalen Welt bewahrt.

NGINX App Protect DoS kann in der Nähe von Anwendungen und Mikrodiensten auf jeder Plattform, Architektur oder Umgebung bereitgestellt werden, einschließlich Kubernetes-Clustern. Es skaliert zusammen mit der Anwendung und gewährleistet jederzeit eine hohe Sicherheitswirksamkeit.

NGINX App Protect DoS in Aktion

Anwendungsfälle für die Bereitstellung

NGINX App Protect DoS kann an verschiedenen Standorten eingesetzt werden, um Anwendungsdienste zu schützen:

  • Edge – Externe Load Balancer und Proxys
  • Ingress Controller – Einstiegspunkt in Kubernetes
  • Proxy pro Dienst – Interne Dienstproxyebene
  • Per‑Pod‑Proxy – Im Pod eingebetteter Proxy
  • API-Gateway – Einstiegspunkt in Microservices

Milderte Angriffsarten

NGINX App Protect DoS bietet Schutz vor mehreren komplexen Angriffsarten:

  • GET- und POST- Flood-Angriffe – (sowohl HTTP als auch HTTPS) Der Angreifer versucht, den Server oder die API mit einer großen Anzahl von Anfragen zu überlasten, sodass er nicht mehr auf echte Benutzer reagieren kann.

  • „Langsame“ Angriffe – (Sowohl HTTP als auch HTTPS) „Slow-and-Low“ -Angriffe binden Serverressourcen, so dass keine für die Bearbeitung von Anfragen tatsächlicher Benutzer zur Verfügung stehen. Zwei Faktoren erschweren die Abwehr:

    • Im Gegensatz zu DDoS-Angriffen über Netzwerke nutzen sie keine großen Bandbreiten und sind daher nur schwer vom normalen Datenverkehr zu unterscheiden.
    • Für den Start sind nicht viele Ressourcen erforderlich, sodass mithilfe ausgefeilter Automatisierungstools Tausende von Anfragen von einem einzigen Computer aus gesendet werden können.

    Es gibt drei Haupttypen langsamer Angriffe:

    • Slowloris – Der Angreifer stellt eine Verbindung zum Server her und sendet in langsamem Tempo teilweise Anforderungsheader. Der Server hält die Verbindung offen, während er auf den Rest der Header wartet, wodurch der Pool der für tatsächliche Benutzer verfügbaren Verbindungen erschöpft wird.
    • Langsames Lesen – Der Angreifer sendet eine wohlgeformte HTTP-Anfrage, liest die Antwort dann aber nur langsam oder gar nicht. Dies hat zur Folge, dass Serverressourcen verbraucht werden und somit legitime Anfragen nicht durchgehen können.
    • Langsames POST – Der Angreifer sendet legitime HTTP- POST- Header an den Server, einschließlich der korrekten Angabe der Größe des folgenden Nachrichtentexts. Der Nachrichtentext wird dann sehr langsam gesendet. Da die Nachricht gültig zu sein scheint, hält der Server die Verbindung offen und wartet auf das Eintreffen des vollständigen Nachrichtentexts. Eine große Anzahl langsamer POST- Angriffe erschöpft den für tatsächliche Benutzer verfügbaren Verbindungspool.

  • Verteilte Varianten der vorhergehenden Angriffe – Durch die Einbindung mehrerer Computer ist es offensichtlich einfacher, eine größere Zahl gleichzeitiger Angriffe auszuführen. Darüber hinaus kann das Datenverkehrsaufkommen jedes Computers relativ gering sein, sodass er einem normalen Benutzer ähnelt. Außerdem können Computer aus dem Angriffspool ausscheiden und dann wieder beitreten, wodurch der Satz der Quell-IP-Adressen einem ständigen Wandel unterliegt. Aufgrund dieser Datenverkehrsmerkmale sind herkömmliche Abwehrmaßnahmen wie Ratenbegrenzung und Geoblocking weniger wirksam.

  • Challenge-Collapsar-Angriff/zufällige URIs – Bei einem Challenge-Collapsar-Angriff (CC) sendet der Angreifer häufige Anfragen, die normal sind, mit der Ausnahme, dass die angeforderten URIs die Ausführung komplizierter und daher zeitaufwändiger Algorithmen oder Datenbankoperationen erfordern, die die Ressourcen auf dem Zielserver erschöpfen können. Der Angreifer kann außerdem URIs und andere HTTP-Parameter zufällig anordnen, sodass herkömmliche Abwehrtools wie statische Regeln umgangen werden. NGINX App Protect DoS verlässt sich stattdessen auf fortschrittliche Algorithmen des maschinellen Lernens, die die Wirksamkeit drastisch erhöhen und Fehlalarme reduzieren.

  • Sich hinter NAT verstecken – Der Angreifer verwendet Verschlüsselung oder Network Address Translation (NAT), um einer Erkennung zu entgehen. Der Versuch, Angriffe durch die alleinige Verfolgung der Quell-IP-Adresse zu erkennen, ist wirkungslos, da dabei alle NAT-Benutzer als Angreifer behandelt werden, selbst wenn nur ein Benutzer angreift.

    NGINX App Protect DoS verwendet Fingerprinting für IPv4, um böswillige Akteure hinter NAT genau zu erkennen. Da der Großteil des Datenverkehrs mit SSL/TLS verschlüsselt ist, ist es möglich, den Schlüssel zur Identifizierung eines Akteurs von einer bloßen IP-Adresse auf eine Kombination aus IP-Adresse und TLS-Fingerabdruck zu erweitern (der Fingerabdruck basiert auf der TLS-Hello-Nachricht).

  • Gezielte SSL/TLS-Angriffe – Der Angreifer missbraucht das SSL/TLS-Handshake-Protokoll. Ein beliebter Ansatz besteht darin, Datenmüll an den SSL/TLS-Zielserver zu senden. Die Verarbeitung einer ungültigen Nachricht ist rechenintensiv und ebenso aufwändig wie die einer gültigen Nachricht, allerdings ohne ein brauchbares Ergebnis. Die meisten Firewalls helfen in diesem Fall nicht, da sie nicht zwischen gültigen und ungültigen SSL/TLS-Handshake-Paketen unterscheiden können und die Implementierung einer Entschlüsselung auf einer Firewall unerschwinglich ist.

    NGINX App Protect DoS verwendet einen SSL/TLS-Signaturmechanismus, um eine anomaliebasierte Erkennung und Minderung basierend auf der CLIENT HELLO-Nachricht bereitzustellen, die unverschlüsselt ist und früh im SSL/TLS-Handshake-Prozess übergeben wird, wodurch die hohen Kosten der Entschlüsselung entfallen. Darüber hinaus ermöglicht die Verwendung von SSL/TLS-Signaturen zusammen mit einem Mechanismus zur Überwachung der Serverintegrität Schutz vor und Minderung von DoS-Angriffen ohne SSL/TLS-Terminierung.

Zusammenfassung

Immer häufiger zielen DoS-Angriffe auf Anwendungen statt auf das Netzwerk. Da viele dieser Layer-7-DoS-Angriffe wie legitimer Datenverkehr aussehen, können herkömmliche WAF-Abwehrmaßnahmen sie nicht wirksam erkennen.

Darüber hinaus nutzen Angreifer weiterhin neue Technologien wie maschinelles Lernen und künstliche Intelligenz, um Layer-7-DoS-Angriffe zu starten, wodurch einfache Regeln und statische Signaturen weniger effektiv werden. Auch die DoS-Minderung auf Layer 7 muss sich weiterentwickeln und NGINX App Protect DoS bringt mit adaptiven und dynamischen Abwehrmaßnahmen die richtige Technologie zum Einsatz.

Wenn Sie mehr darüber erfahren möchten, wie Sie DoS-Schutz gewährleisten können, sehen Sie sich unsere Lösungsübersicht an. Siehe auch diese verwandten Blogs:

Probieren Sie NGINX App Protect DoS selbst aus – starten Sie noch heute eine kostenlose 30-Tage-Testversion oder kontaktieren Sie uns, um Ihre Anwendungsfälle zu besprechen .

Weitere Blogbeiträge zu F5 NGINX lesen ›

„Dieser Blogbeitrag kann auf Produkte verweisen, die nicht mehr verfügbar und/oder nicht mehr unterstützt werden. Die aktuellsten Informationen zu verfügbaren F5 NGINX-Produkten und -Lösungen finden Sie in unserer NGINX-Produktfamilie . NGINX ist jetzt Teil von F5. Alle vorherigen NGINX.com-Links werden auf ähnliche NGINX-Inhalte auf F5.com umgeleitet."