Layer 7-Angriffe sind schwieriger als grundlegende volumetrische Überschwemmungen, da der Datenverkehr oft wie normaler Anwendungsdatenverkehr aussieht.
Der Angreifer versucht nicht nur, die Bandbreite zu saturieren. Er versucht, Ihre teuren Pfade zu nutzen:
- Sitzungsabfragen
- Suchanfragen
- Login-Flows
- Rendering- oder Cache-Fehlermeldungen
Das bedeutet, dass eine Anfrage böswillig sein kann, selbst wenn sie eine vollkommen gültige HTTP-Anfrage ist.
Warum Edge-Minderung wichtig ist
Je länger eine fehlerhafte Anfrage überlebt, desto mehr Infrastruktur verbraucht sie.
Deshalb funktionieren Abwehrmaßnahmen auf Anwendungsebene am besten so früh wie möglich:
- CDN oder Reverse Proxy
- WAF
- Edge-Middleware
- dann Ursprung
Wenn eine fehlerhafte oder verdächtige Anfrage abgelehnt werden kann, bevor sie Ihre Anwendungsserver erreicht, ist das in der Regel ein großer Gewinn.
Verhalten schlägt naive Identitätsregeln
Einfaches IP-basiertes Raten-Limiting scheitert oft, wenn Angreifer den Verkehr gut verteilen.
Nützliche Signale stammen normalerweise aus Kombinationen von:
- Anforderungsform
- Pfad-Targeting
- Header-Mustern
- Token- oder Cookie-Erwartungen
- Erfolg oder Misserfolg von Herausforderungen
Deshalb sind Verhaltenskontrollen und Herausforderungsmechanismen oft effektiver als nur das Zählen von Anfragen pro IP.
Vergessen Sie nicht den Produktkompromiss
Aggressive Abwehrmaßnahmen können echte Benutzer blockieren.
Deshalb besteht gute DDoS-Abwehr nicht nur darin, "mehr Verkehr abzulehnen." Sie umfasst:
- kostengünstiges Filtern
- vorsichtiges Eskalieren
- Messung von Fehlalarmen
Manchmal ist eine Herausforderungsseite besser als eine harte Blockade, da sie echten Browsern einen Weg durch lässt und gleichzeitig die Kosten für Angreifer erhöht.
Weiterführende Literatur