Los ataques DDoS de la capa de aplicación se dirigen a la capa de aplicación de Internet para interrumpir el flujo normal de tráfico a un sitio web o servicio.
Después de leer este artículo podrás:
Contenido relacionado
Mitigación de DDoS
Modelo OSI
Ataque slowloris
¿Qué es una red de robots (botnet) de DDoS?
¿Qué es el enrutamiento de agujeros negros de DDoS?
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
Los ataques a la capa de aplicación o los ataques DDoS a la capa 7 (L7) hacen referencia a un tipo de comportamiento malicioso diseñado para dirigirse a la capa "superior" en el modelo OSI, donde se producen las solicitudes comunes de Internet como HTTP GET y HTTP POST. Estos ataques a la capa 7, a diferencia de los ataques a la capa de red como la Amplificación del DNS, son especialmente eficaces debido a que consumen recursos del servidor además de los recursos de la red.
La eficacia subyacente de la mayoría de los ataques DDoS proviene de la disparidad entre la cantidad de recursos que se necesitan para lanzar un ataque en relación con la cantidad de recursos que se necesitan para absorber o mitigar uno. Aunque este sigue siendo el caso de los ataques L7, la eficacia de afectar tanto al servidor objetivo como a la red requiere menos ancho de banda total para lograr el mismo efecto perturbador; un ataque a la capa de aplicación crea más daño con menos ancho de banda total.
Para explorar por qué ese es el caso, echemos un vistazo a la diferencia en el consumo relativo de recursos entre un cliente que hace una petición y un servidor que responde a la petición. Cuando un usuario envía una solicitud para entrar en una cuenta en línea, como una cuenta de Gmail, la cantidad de datos y recursos que debe utilizar el ordenador del usuario es mínima y desproporcionada en comparación con la cantidad de recursos que se consumen en el proceso de comprobación de las credenciales de inicio de sesión, la carga de los datos relevantes del usuario desde una base de datos y el posterior envío de una respuesta con la página web solicitada.
Incluso cuando no hay un inicio de sesión, muchas veces un servidor que recibe una solicitud de un cliente debe hacer consultas a la base de datos u otras llamadas a la API para generar una página web. Cuando esta disparidad se magnifica como resultado de que haya muchos dispositivos que se dirigen a una sola propiedad web, como durante un ataque de botnet, el efecto puede abrumar al servidor al que se dirige, dando lugar a una denegación de servicio del tráfico legítimo. En muchos casos, basta con dirigirse a una API con un ataque L7 para que el servicio deje de funcionar.
Distinguir entre el tráfico de ataque y el tráfico normal es difícil, especialmente en el caso de un ataque a la capa de aplicación, como una botnet que lleva a cabo un ataque de inundación HTTP contra el servidor de una víctima. Ya que cada bot en una botnet realiza solicitudes de red aparentemente legítimas, el tráfico no está falsificado y puede parecer que tiene un origen "normal".
Los ataques a la capa de aplicación requieren una estrategia adaptativa que incluya la capacidad de limitar el tráfico en base a determinados conjuntos de reglas, que pueden fluctuar con regularidad. Hay herramientas como un WAF que, configuradas correctamente, pueden mitigar la cantidad de tráfico falso que se pasa a un servidor de origen, lo que disminuye considerablemente el impacto del intento de DDoS.
Con otros ataques como las inundaciones SYN o ataques de reflexión como la amplificación NTP, se pueden utilizar estrategias para dejar caer el tráfico de forma bastante eficiente, siempre que la propia red tenga el ancho de banda para recibirlos. Por desgracia, la mayoría de las redes no pueden recibir un ataque de amplificación de 300 Gbps, y todavía menos redes pueden enrutar y servir adecuadamente el volumen de solicitudes de la capa de aplicación que puede generar un ataque L7.
Un método es aplicar un desafío al dispositivo que realiza la solicitud de red para comprobar si es un bot o no. Esto se realiza mediante una prueba muy parecida a la prueba CAPTCHA que es habitual encontrar al crear una cuenta en línea. Al tener un requisito como un reto computacional de JavaScript, se pueden mitigar muchos ataques.
Otras vías para detener las inundaciones HTTP incluyen el uso de un firewall de aplicaciones web, la gestión y el filtrado del tráfico a través de una base de datos de reputación de IP, y el análisis de la red sobre la marcha por parte de los ingenieros.
Al tener la ventaja de escala de tener millones de usuarios en nuestra red, Cloudflare tiene la capacidad de analizar el tráfico desde una variedad de fuentes, mitigando los posibles ataques con reglas WAF que están constantemente actualizadas y otras estrategias de mitigación, a menudo antes de que se produzcan o tengan la oportunidad de volver a dirigirse a otros. Explorar los servicios de protección avanzada DDoS de Cloudflare.