Attacco DDoS a livello di applicazione

Gli attacchi DDoS a livello di applicazione prendono di mira il livello delle applicazioni di Internet per interrompere il normale flusso di traffico verso un sito Web o un servizio.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire un attacco al livello di applicazione (L7)
  • Scoprire di più su come funzionano gli attacchi a livello di applicazione
  • Scoprire come mitigare un attacco a livello di applicazione

Argomenti correlati


Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Cos'è un attacco DDoS a livello di applicazione?

Gli attacchi DDoS a livello di applicazione o livello 7 (L7) si riferiscono a un tipo di comportamento dannoso progettato per prendere di mira il livello "superiore" nel modello OSI in cui si verificano richieste Internet comuni come HTTP GET e HTTP POST. Questi attacchi di livello 7, a differenza degli attacchi di livello di rete come l'amplificazione DNS, sono particolarmente efficaci perché consumano risorse del server oltre a quelle di rete.

Come funzionano gli attacchi a livello di applicazione?

L'efficacia di base della maggior parte degli attacchi DDoS deriva dalla disparità tra la quantità di risorse necessarie per lanciare un attacco e la quantità di risorse necessarie per assorbirlo o mitigarlo. Sebbene questo sia ancora il caso degli attacchi L7, l'efficacia nell'influenzare sia il server preso di mira che la rete richiede una larghezza di banda totale inferiore per ottenere lo stesso effetto dirompente; un attacco a livello di applicazione crea più danni con una larghezza di banda totale inferiore.

Per capire perché ciò accade, diamo un'occhiata alla differenza nel consumo relativo di risorse tra un client che effettua una richiesta e un server che risponde alla richiesta. Quando un utente invia una richiesta accedendo a un account online come un account Gmail, la quantità di dati e risorse che il computer dell'utente deve utilizzare è minima e sproporzionata rispetto alla quantità di risorse consumate nel processo di verifica delle credenziali di accesso, caricamento dei dati utente rilevanti da un database e successivo invio di una risposta contenente la pagina Web richiesta.

Anche in assenza di un accesso, spesso un server che riceve una richiesta da un client deve effettuare query al database o altre chiamate API per produrre una pagina Web. Quando questa disparità viene amplificata dal fatto che molti dispositivi prendono di mira una singola proprietà Web, come durante un attacco botnet, l'effetto può sopraffare il server preso di mira, con conseguente negazione del servizio del traffico legittimo. In molti casi, il semplice attacco L7 a un'API è sufficiente per disattivare il servizio.

Perché è difficile fermare gli attacchi DDoS a livello di applicazione?

Distinguere tra traffico di attacco e traffico normale è difficile, soprattutto nel caso di un attacco a livello di applicazione come una botnet che esegue un attacco HTTP flood contro il server di una vittima. Poiché ogni bot in una botnet effettua richieste di rete apparentemente legittime, il traffico non è falsificato e può apparire di origine "normale".

Gli attacchi a livello di applicazione richiedono una strategia adattiva che comprenda la capacità di limitare il traffico in base a specifici insiemi di regole, che possono variare regolarmente. Strumenti come un WAF configurato correttamente possono mitigare la quantità di traffico fittizio che viene trasmesso a un server di origine, riducendo notevolmente l'impatto del tentativo di attacco DDoS.

Con altri attacchi come i SYN flood o attacchi di riflessione come l'amplificazione NTP, è possibile utilizzare delle strategie per eliminare il traffico in modo abbastanza efficiente, a patto che la rete stessa abbia la larghezza di banda necessaria per riceverli. Sfortunatamente, la maggior parte delle reti non può ricevere un attacco di amplificazione da 300 Gbps e ancora meno reti riescono a instradare e gestire correttamente il volume di richieste a livello applicativo che un attacco L7 può generare.

Quali tattiche aiutano a mitigare gli attacchi a livello di applicazione?

Un metodo consiste nell'implementare una challenge al dispositivo che effettua la richiesta di rete per verificare se si tratta o meno di un bot. Questo avviene tramite un test molto simile al CAPTCHA comunemente utilizzato durante la creazione di un account online. Fornendo un requisito come una sfida computazionale JavaScript, è possibile mitigare molti attacchi.

Altri metodi per fermare gli HTTP flood includono l'uso di un firewall per applicazioni Web, la gestione e il filtraggio del traffico tramite un database di reputazione IP e l'analisi di rete in tempo reale da parte degli ingegneri.

Grazie al vantaggio di poter contare su milioni di utenti sulla nostra rete, Cloudflare è in grado di analizzare il traffico proveniente da diverse origini, mitigando potenziali attacchi con regole WAF costantemente aggiornate e altre strategie di mitigazione, spesso prima che si verifichino o che abbiano la possibilità di colpire altri. Esplora i servizi di protezione avanzata DDoS di Cloudflare.