Was ist Traffic Flood?
Traffic Flood ist eine über die TCP-Verbindung durchgeführte Art DoS Angriff auf einen Webserver. Der Angreifer sendet dabei massenweise TCP-Anfragen mit dem Ziel, den Server lahmzulegen oder die Performance signifikant zu senken.
Wie findet Traffic Flood statt?
Der Angreifer öffnet für eine einzelne Abfrage viele Verbindungen gleichzeitig und kann mit einer Connect Attack oder Closing Attack zwei Schwachstellen ausnutzen. Die Connect Attack findet während des Verbindungsaufbaus statt, die Closing Attack beim Schließen der Verbindung. Bei der Connect Attack werden massenweise gefälschte TCP-Verbindungen mit unvollständigem HTTP-Request hergestellt, bis der Server durch die Anfragen überlastet ist. Die Closing Attack erfolgt während der abschließenden Schritte einer TCP-Verbindung.
Wie schützen sich Betreiber eines Servers?
Schutz vor Traffic Flood und anderen DoS Angriffen erfolgt auf mehreren Ebenen mithilfe von DDoS-Protections. Diese Programme untersuchen den Traffic und filtern „schädlichen“ Traffic aus. Für die Einrichtung solch eines Programms muss der Administrator meist die Domain-DNS-Einträge ändern, die eigene Domain wird dann erst auf einen Server des Programms geleitet. Handelt es sich um „guten“ Traffic, leitet der Server den Verkehr an den eigentlichen Server weiter. Der Traffic kann nach bekannten Angriffsmustern gefiltert werden, das betrifft Angriffe wie NTP-Reflection, UDP Flood auf Port 80 und DNS-Reflection. Mit dynamischer Trafficfilterung lassen sich Angriffe wie DNS-Floods, SYN-Floods und Invalid Packets filtern.