Aplicação DDoS

Ataques lentos e persistentes, ataques assimétricos, SlowHTTPTest, Slow Loris, inundações de POST e GET


Agradecemos o seu envio. O acesso será entregue na sua caixa de entrada em breve. Se você tiver problemas de acesso, envie um e-mail para thef5team@f5.com.

O seu site está mais lento do que deveria?

Seus usuários relatam problemas frequentes de login, tempo limite de pesquisa ou falhas inexplicáveis no banco de dados? Você pode ser vítima de negação de serviço distribuído no nível de aplicação (DDoS de aplicação). O DDoS de aplicação tem sido um dos problemas mais perniciosos da ciência da computação nos últimos dez anos. Ele tem outros nomes: ataques “lentos e persistentes”, ataques de “DoS de camada 7” e ataques assimétricos.

Concorrente usa DDoS para mascarar extração de dados

Uma grande seguradora com mais de 20 milhões de membros confia no próprio site para fornecer informações sobre provedores, benefícios e planos. Um invasor inundou a função de pesquisa da seguradora com consultas por vários dias, paralisando o site.

Os pesquisadores da Distributed Cloud da F5 observaram atividades de extração de dados automatizadas comórbidas de baixo nível com o ataque de negação de serviço, sugerindo que o ataque de DoS pode ter sido uma tática distrativa.

Estudo de caso: seguradora derrota DDoS de camada de aplicações

Pontos-chave:

  • Os serviços da seguradora são altamente personalizados, portanto, a pesquisa no site é uma função essencial.
  • O adversário usou uma ferramenta de linha de comando simples para exercer a função de pesquisa a uma taxa suficiente para causar sua falha.
  • A Distributed Cloud da F5 desviou o DDoS de aplicação e expôs a extração de dados da taxa de concorrente.

20 milhões


UMA GRANDE SEGURADORA COM MAIS DE 20 MILHÕES DE MEMBROS CONFIA NO PRÓPRIO SITE PARA FORNECER INFORMAÇÕES SOBRE PROVEDORES, BENEFÍCIOS E PLANOS.

O manual do invasor de DDoS de aplicação

Etapa 1

O invasor, seja um concorrente, extorsor ou ativista, fará o reconhecimento do seu site usando um serviço de indexação — lentamente, ao longo de dias ou semanas para evitar a detecção. Ele constrói uma lista de URLs com a quantidade de tempo utilizada por cada consulta e a quantidade de dados retornados.

Etapa 2

O invasor então ordenará a lista por tempo de conclusão ou tamanho do arquivo e solicitará repetidamente a primeira URL da lista, 100 vezes por segundo ou mais. Suas pequenas solicitações GET não custam nada para serem lançadas, mas um arquivo PDF de 5 megabytes, ou uma consulta cara de banco de dados lançada 6.000 vezes em um minuto, pode causar estragos em um site indefeso.

Etapa 3

Se o defensor bloquear solicitações para o objeto-alvo, o invasor simplesmente terá como alvo a próxima URL da lista. O defensor quase nunca sabe qual será a URL. Se a URL for uma consulta de banco de dados, as solicitações repetidas podem derrubar todo o banco de dados, paralisando os negócios.

Como a Distributed Cloud da F5 corrige DDoS de aplicação

Na Distributed Cloud da F5, vimos quase todos os tipos de ataque de DDoS na camada de aplicação imagináveis. Um ataque simples pode envolver seu concorrente derrubando seu site ao invocar repetidamente sua pesquisa de banco de dados mais lenta. Para alguns varejistas, a pesquisa mais lenta pode ser um localizador de lojas. Para outros, pode ser uma consulta “selecionar tudo” não indexada. Como cada pequena solicitação por parte do invasor pode atrair vastos recursos em seu site, o invasor não precisa enviar um grande ataque — apenas um fluxo constante de pequenas solicitações GET. Essas incursões de DDoS “lentas e persistentes” não dispararão alarmes de acionamento de largura de banda.

Os invasores de DDoS de aplicações contam com automação — scripts, programas e botnets — para realizar seus ataques de DDoS. As defesas tradicionais de DDoS são geralmente cegas para esses tipos de ataques, porque os ataques quase sempre são realizados por canais SSL criptografados.

Gráfico de DDoS

O diagrama acima é representativo do tráfego registrado pelo Distributed Cloud Protection Manager da F5 e mostra o tráfego de ataque direcionado ao site de uma seguradora. Vermelho indica que o tráfego atinge os servidores de origem antes que a Distributed Cloud da F5 seja ativada. Cinza indica tráfego desviado pela Distributed Cloud da F5 que não atinge os servidores de origem. O gráfico ilustra um padrão típico de ataque de DDoS na camada de aplicação que continuou mesmo depois que o Distributed Cloud da F5 mitigou seus efeitos prejudiciais.

Na Distributed Cloud Security da F5, podemos ver os ataques, detectando-os como fazemos com qualquer outra automação. Sabemos quando o cliente atacante não é um navegador verdadeiro e o limitamos, redirecionamos ou usamos o bloqueio controlado para minimizar seu impacto. Às vezes, viramos o jogo contra o invasor e retardamos as consultas dele, fazendo-o pensar que está tendo sucesso quando não está.

A Distributed Cloud da F5 é especializada em diferenciar humanos e computadores, e DDoS de aplicação é apenas mais um sintoma de bot do mesmo vetor de ameaça com que lidamos bilhões de vezes por semana.