IT-Sicherheit
Wie sich datengierige Bots abwehren lassen
Fortsetzung des Artikels von Teil 1
Bisherige Maßnahmen verpuffen
Cloud-Anbieter, Internet Service Provider, Content Delivery Networks und IT-Abteilungen von Unternehmen haben daher bereits eine Vielzahl von Maßnahmen ergriffen, um das Verhalten von Bots einzudämmen. In vielen Fällen versuchen sie, den Bot-Verkehr zu erkennen und zu blockieren, indem sie zum Beispiel die Anfragen von Bots zurückweisen. Aber viele Bots lassen sich davon nicht abschrecken und wechseln häufig in Echtzeit die IP-Adresse, um diese Art von Abwehrmaßnahmen zu umgehen.
Ähnliches gilt für die Ratenlimitierung. Hier wird nur eine bestimmte Anzahl von Anfragen von einer IP-Adresse zugelassen. Diese Ratenbeschränkung wird sehr leicht von den Bots erkannt, selbst wenn Unternehmen mehrere Richtlinien dafür nutzen. Die Bots antworten darauf, indem sie andere IP-Adressen oder Vektoren verwenden, um an die gewünschten Ressourcen zu gelangen.
Wie beim Wettlauf um die IT-Sicherheit zwischen Unternehmen und Cyberkriminellen, finden auch Bot-Entwickler – ob mit guten oder bösen Absichten – immer wieder Wege, um ihre Ziele zu erreichen. In beiden Fällen geht dies auf Kosten eines verschlechterten Angebots für die menschlichen Nutzer, da sich Websites und Anwendungen nur noch langsam oder gar nicht mehr öffnen.
Neue Ansätze nötig
Daher sind neue Ansätze notwendig, um den Bot-Verkehr einzudämmen. Eine Möglichkeit dafür ist die Bandbreitenbegrenzung. Damit erhalten die Bots effektiv nur sehr wenig Bandbreite, die sie nutzen können, egal wie viele Anfragen sie stellen.
In diesem Szenario wird bei der Erkennung von Bot-Verkehr die entsprechende IP-Adresse in eine Art Käfig gesperrt. Von dort aus kann der Bot beliebig viele Anfragen stellen, er erhält aber viel langsamere Antworten. Daher ist diese Maßnahme von Bots auch deutlich schwieriger zu erkennen als eine vollständige Blockade.
Diese Abwehrmethode setzt zum Beispiel die British Library ein. Bei 11 Millionen Browser-Anfragen pro Tag und bis zu 7.000 Suchanfragen pro Stunde benötigte sie eine entsprechende Lösung, denn der Datenverkehr von Spider-, Crawler- und anderen Bots nahm ständig zu und sorgte schon für mehr als 10 Prozent aller Website-Anfragen. Durch Bandbreitenbegrenzung konnte sie das Problem deutlich entschärfen und die Auswirkungen des Bot-Traffics auf die Nutzung durch menschliche Website-Besucher reduzieren.
Erweiterung der Abwehr
Obwohl die Bandbreitenbegrenzung alleine schon ein wirkungsvolles Instrument gegen allzu gierige Bots ist, lässt sie sich mit zwei weiteren Funktionen ergänzen: Monitoring und Synchronisierung. Dies ermöglicht eine mehrschichtige Lösung.
Mit Hilfe von Monitoring können Unternehmen einen Blick in den „Bot-Käfig“ werfen. So sehen sie zum Beispiel sofort, wie viele Anfragen und IP-Adressen unter Quarantäne gestellt wurden. Daher müssen sie sich nicht mehr durch zahlreiche Log-Dateien wühlen, um gezielt die datenhungrigen Bots zu entdecken und geeignete Entscheidungen zu treffen.
Durch die Datensynchronisierung lässt sich der bei einer Installation unter Quarantäne gestellte Bot-Verkehr mit anderen Instanzen vergleichen. So kann ein Sicherheitsanbieter die Informationen von verschiedenen Unternehmen weltweit konsolidieren und allen Beteiligten weiterleiten. Dies führt sozusagen zu einem globalen „Anti-Botnet“.
Festzuhalten bleibt somit Folgendes: Mit einfachen Maßnahmen, wie einer Blockierung bestimmter IP-Adressen, lässt sich das Problem des ständig wachsenden Bot-Verkehrs nicht mehr ausreichend eindämmen. Mit Hilfe neuer Ansätze wie Bandbreitenbegrenzung, Monitoring und Datensynchronisierung können Entwickler und Netzwerkbetreiber proaktiv sicherstellen, dass ihre Websites und Anwendungen für menschliche Nutzer jederzeit schnell und zuverlässig bereitstehen.
Bernd Achatz ist Technischer Direktor bei F5 Networks
- Wie sich datengierige Bots abwehren lassen
- Bisherige Maßnahmen verpuffen
Lesen Sie mehr zum Thema
