DDoS en aplicaciones

Ataques bajos y lentos, Ataques asimétricos, SlowHTTPTest, Slow Loris, POST y GET Floods


Gracias por su envío. En breve recibirá el acceso en su bandeja de entrada. Si tiene problemas para acceder, envíe un correo electrónico a thef5team@f5.com.

¿Su sitio web es más lento de lo que debería?

¿Sus usuarios informan de frecuentes problemas de inicio de sesión, tiempos de espera en las búsquedas o fallos inexplicables en la base de datos? Puede que sea víctima de una denegación de servicio distribuido a nivel de aplicación (DDoS en aplicación). El DDoS en aplicaciones ha sido uno de los problemas más perjudiciales en informática en los últimos diez años. Recibe otros nombres: ataques «bajos y lentos», ataques «DOS de capa 7» y ataques asimétricos.

La competencia utiliza el DDoS para enmascarar el scraping

Una importante compañía de seguros con más de 20 millones de afiliados confía en su sitio web para ofrecer información sobre proveedores, prestaciones y planes. Un atacante inundó la función de búsqueda de la compañía con consultas durante varios días, reduciendo el rendimiento del sitio.

Los investigadores de F5 Distributed Cloud observaron actividades de scraping automatizado de bajo nivel con ataques de denegación de servicio, lo que sugería que el ataque de DoS podría haber sido una táctica de distracción.

Estudio de caso: Una compañía de seguros derrota al DDoS de la capa de aplicación

Puntos clave:

  • Los servicios de la compañía de seguros son muy personalizados, por lo que la búsqueda en la web es una función esencial.
  • El adversario utilizó una sencilla herramienta de línea de comandos para ejercitar la función de búsqueda a un ritmo suficiente para hacerla fallar.
  • F5 Distributed Cloud desvió el DDoS de la aplicación y descubrió el scraping de la competencia.

20 millones


UNA IMPORTANTE COMPAÑÍA DE SEGUROS CON MÁS DE 20 MILLONES DE AFILIADOS CONFÍA EN SU SITIO WEB PARA OFRECER INFORMACIÓN SOBRE PROVEEDORES, PRESTACIONES Y PLANES.

El libro práctico del atacante de DDoS en aplicaciones

Paso 1

El atacante, sea un competidor, un extorsionista o un activista, reconocerá su sitio web utilizando un servicio de spidering, lentamente, durante días o semanas para evitar ser detectado. Luego construye una lista de URL con la cantidad de tiempo que dura cada consulta y la cantidad de datos devueltos.

Paso 2

A continuación, el atacante ordenará la lista por tiempo de ejecución o tamaño de archivo y solicitará repetidamente la primera URL de la lista, 100 veces por segundo o más. Sus pequeñas solicitudes GET son fáciles de ejecutar, pero los archivos PDF de 5 megabytes, o las consultas a una base de datos lanzadas 6000 veces por minuto, pueden causar estragos en un sitio web sin defensas.

Paso 3

Si el defensor bloquea las solicitudes al objeto, el atacante se limita a apuntar a la siguiente URL de la lista. El defensor casi nunca sabe qué URL será. Si la URL es una consulta a la base de datos, las repetidas solicitudes pueden hacer caer toda la base de datos, deteniendo la actividad.

Cómo F5 Distributed Cloud soluciona los DDoS de aplicaciones

En F5 Distributed Cloud, hemos visto todo tipo de ataques de DDoS en la capa de aplicación. Un ataque simple puede implicar que su competidor derribe su sitio web invocando repetidamente su búsqueda más lenta en la base de datos. Para algunos minoristas, la búsqueda más lenta puede ser un localizador de tiendas. Para otros, puede ser una consulta de «seleccionar todo» no indexada. Dado que cada pequeña petición del atacante puede extraer grandes recursos de su sitio web, el atacante no necesita realizar un gran ataque, sino que solo necesita enviar un flujo constante de pequeñas solicitudes GET. Estas incursiones DDoS «bajas y lentas» no harán saltar las alarmas de ancho de banda.

Los atacantes de DDoS de aplicación se basan en la automatización (scripts, programas y botnets) para llevar a cabo sus ataques de DDoS. Las defensas DDoS tradicionales suelen ser ciegas ante este tipo de ataques ya que los ataques casi siempre se llevan a cabo a través de canales SSL cifrados.

Tabla de DDoS

El diagrama de arriba es representativo del tráfico registrado por F5 Distributed Cloud y muestra el tráfico de ataque dirigido al sitio web de una compañía de seguros. El rojo indica el tráfico que llega a los servidores de origen antes de que se active F5 Distributed Cloud. El gris indica el tráfico desviado por F5 Distributed Cloud que no llega a los servidores de origen. El gráfico ilustra un patrón típico de ataque DDoS en la capa de aplicación que continuó incluso después de que F5 Distributed Cloud mitigara sus efectos perjudiciales.

En F5 Distributed Cloud Security, podemos detectar los ataques, como hacemos con cualquier otra automatización. Sabemos si el cliente atacante no es un navegador auténtico y los limitamos, los redirigimos o utilizamos el bloqueo controlado para minimizar su impacto. A veces volvemos las tornas contra el atacante y ralentizamos sus consultas, haciéndoles creer que están teniendo éxito cuando no es así.

F5 Distributed Cloud se especializa en diferenciar a los humanos de los ordenadores. El DDoS de aplicaciones es solo otra prueba de bots del mismo vector de amenazas que manejamos miles de millones de veces por semana.