Ataques DDoS na camada de aplicativos

Os ataques DDoS na camada de aplicativos visam a camada de aplicativos da internet a fim de interromper o fluxo normal de tráfego para um site ou serviço.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Defina um ataque na camada de aplicativos (L7)
  • Saiba mais sobre como funcionam os ataques na camada de aplicativos
  • Explore como mitigar um ataque na camada de aplicativos

Copiar o link do artigo

O que é um ataque DDoS na camada de aplicativos?

Ataques na camada de aplicativos ou ataques DDoS na camada 7 (L7) referem-se a um tipo de comportamento malicioso projetado para atingir a camada "superior" no modelo OSI onde ocorrem solicitações comuns na internet como HTTP GET e HTTP POST. Esses ataques na camada 7, ao contrário dos ataques na camada de rede, tais como Amplificação de DNS, são particularmente eficazes devido ao consumo de recursos do servidor, além dos recursos da rede.

Como funcionam os ataques na camada de aplicativos?

A eficácia subjacente da maioria dos ataques DDoS vem da disparidade entre a quantidade de recursos necessários para lançar um ataque em relação à quantidade de recursos necessários para absorvê-lo ou mitigá-lo. Embora esse ainda seja o caso com ataques na L7, a eficiência de afetar o servidor de destino e a rede requer menos largura de banda total para obter o mesmo efeito de interrupção; um ataque à camada de aplicativos cria mais danos com menos largura de banda total.

Para explorar por que esse é o caso, vamos dar uma olhada na diferença no consumo relativo de recursos entre um cliente que faz uma solicitação e um servidor que responde à solicitação. Quando um usuário envia uma solicitação de login em uma conta on-line, como uma conta do Gmail, a quantidade de dados e recursos que o computador do usuário deve utilizar são mínimos e desproporcionais à quantidade de recursos consumidos no processo de verificação de credenciais de login para carregar os dados relevantes do usuário de um banco de dados e, em seguida, enviar de volta uma resposta contendo a página da web solicitada.

Mesmo na ausência de um login, muitas vezes um servidor que recebe uma solicitação de um cliente deve fazer consultas ao banco de dados ou outras chamadas de API para produzir uma página da web. Quando essa disparidade é ampliada como resultado de muitos dispositivos que visam uma única propriedade da web, como durante um ataque de botnet, o efeito pode sobrecarregar o servidor visado, resultando em negação de serviço para o tráfego legítimo. Em muitos casos, simplesmente direcionar uma API com um ataque na L7 é suficiente para colocar o serviço offline.

Por que é difícil parar os ataques DDoS na camada de aplicativos?

Distinguir entre o tráfego de ataque e o tráfego normal é difícil, especialmente no caso de um ataque na camada de aplicativos, como uma botnet executando um ataque de inundação HTTP contra o servidor da vítima. Como cada bot em uma botnet faz solicitações de rede aparentemente legítimas, o tráfego não é falsificado e pode parecer “normal” na origem.

Os ataques à camada de aplicativos requerem uma estratégia adaptativa, incluindo a capacidade de limitar o tráfego com base em conjuntos específicos de regras, que podem flutuar regularmente. Ferramentas como um WAF configurado corretamente podem mitigar a quantidade de tráfego falso que é passado para um servidor de origem, diminuindo muito o impacto da tentativa de DDoS

Com outros ataques, como inundações SYN ou ataques de reflexão, como amplificação de NTP, podem ser usadas estratégias para eliminar o tráfego de forma bastante eficiente, desde que a própria rede tenha largura de banda para recebê-los. Infelizmente, a maioria das redes não pode receber um ataque de amplificação de 300 Gbps e ainda menos redes podem rotear e atender adequadamente ao volume de solicitações da camada de aplicativos que um ataque na L7 pode gerar.

Que táticas ajudam a mitigar os ataques na camada de aplicativos?

Um método é implementar um desafio ao dispositivo que faz a solicitação na rede, a fim de testar se é ou não um bot. Isto é feito através de um teste muito parecido com o teste CAPTCHA comumente encontrado ao criar uma conta on-line. Ao fornecer um requisito como um desafio computacional JavaScript, muitos ataques podem ser mitigados.

Outras formas de impedir inundações HTTP incluem o uso de um firewall de aplicativos web, gerenciando e filtrando o tráfego através de um banco de dados de reputação de IP, e através de análise da rede imediata por engenheiros.

Tendo a vantagem de escalar com milhões de usuários em nossa Rede, a Cloudflare tem a capacidade de analisar o tráfego de uma variedade de fontes, mitigando possíveis ataques com regras WAF constantemente atualizadas e outras estratégias de mitigação, muitas vezes antes que ocorram ou tenham a chance de redirecionar outros . Explore os serviços de proteção avançada contra DDoS da Cloudflare