Os ataques DDoS na camada de aplicação visam a camada de aplicação da internet a fim de interromper o fluxo normal de tráfego para um site ou serviço.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Mitigação de DDoS
Modelo OSI
Ataque Slowloris
O que é botnet de DDoS?
O que é o roteamento blackhole de DDoS?
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
Ataques na camada de aplicação ou ataques DDoS na camada 7 (L7) referem-se a um tipo de comportamento malicioso projetado para atingir a camada "superior" no modelo OSI onde ocorrem solicitações comuns na internet como HTTP GET e HTTP POST. Esses ataques na camada 7, ao contrário dos ataques na camada de rede, tais como Amplificação de DNS, são particularmente eficazes devido ao consumo de recursos do servidor, além dos recursos da rede.
A eficácia subjacente da maioria dos ataques DDoS vem da disparidade entre a quantidade de recursos necessários para lançar um ataque em relação à quantidade de recursos necessários para absorvê-lo ou mitigá-lo. Embora esse ainda seja o caso com ataques na L7, a eficiência de afetar o servidor de destino e a rede requer menos largura de banda total para obter o mesmo efeito de interrupção; um ataque à camada de aplicação cria mais danos com menos largura de banda total.
Para explorar por que esse é o caso, vamos dar uma olhada na diferença no consumo relativo de recursos entre um cliente que faz uma solicitação e um servidor que responde à solicitação. Quando um usuário envia uma solicitação de login em uma conta on-line, como uma conta do Gmail, a quantidade de dados e recursos que o computador do usuário deve utilizar são mínimos e desproporcionais à quantidade de recursos consumidos no processo de verificação de credenciais de login para carregar os dados relevantes do usuário de um banco de dados e, em seguida, enviar de volta uma resposta contendo a página web solicitada.
Mesmo na ausência de um login, muitas vezes um servidor que recebe uma solicitação de um cliente deve fazer consultas ao banco de dados ou outras chamadas de API para produzir uma página web. Quando essa disparidade é ampliada como resultado de muitos dispositivos que visam uma única propriedade da web, como durante um ataque de botnet, o efeito pode sobrecarregar o servidor visado, resultando em negação de serviço para o tráfego legítimo. Em muitos casos, simplesmente direcionar uma API com um ataque na L7 é suficiente para colocar o serviço offline.
Distinguir entre o tráfego de ataque e o tráfego normal é difícil, especialmente no caso de um ataque na camada de aplicação, como uma botnet executando um ataque de inundação HTTP contra o servidor da vítima. Como cada bot em uma botnet faz solicitações de rede aparentemente legítimas, o tráfego não é falsificado e pode parecer “normal” na origem.
Os ataques à camada de aplicação requerem uma estratégia adaptativa, incluindo a capacidade de limitar o tráfego com base em conjuntos específicos de regras, que podem flutuar regularmente. Ferramentas como um WAF configurado corretamente podem mitigar a quantidade de tráfego falso que é passado para um servidor de origem, diminuindo muito o impacto da tentativa de DDoS
Com outros ataques, como inundações SYN ou ataques de reflexão, como amplificação de NTP, podem ser usadas estratégias para eliminar o tráfego de forma bastante eficiente, desde que a própria rede tenha largura de banda para recebê-los. Infelizmente, a maioria das redes não pode receber um ataque de amplificação de 300 Gbps e ainda menos redes podem rotear e atender adequadamente ao volume de solicitações da camada de aplicativos que um ataque na L7 pode gerar.
Um método é implementar um desafio ao dispositivo que faz a solicitação na rede, a fim de testar se é ou não um bot. Isto é feito através de um teste muito parecido com o teste CAPTCHA comumente encontrado ao criar uma conta on-line. Ao fornecer um requisito como um desafio computacional JavaScript, muitos ataques podem ser mitigados.
Outras formas de impedir inundações HTTP incluem o uso de um firewall de aplicativos web, gerenciando e filtrando o tráfego através de um banco de dados de reputação de IP, e através de análise da rede imediata por engenheiros.
Tendo a vantagem de escalar com milhões de usuários em nossa Rede, a Cloudflare tem a capacidade de analisar o tráfego de uma variedade de fontes, mitigando possíveis ataques com regras WAF constantemente atualizadas e outras estratégias de mitigação, muitas vezes antes que ocorram ou tenham a chance de redirecionar outros . Explore os serviços de proteção avançada contra DDoS da Cloudflare