DDoS-атаки: атаки прикладного уровня

Вообще говоря, векторы DDoS-атак можно условно разделить на три категории: атаки прикладного уровня, атаки на основе протокола и объемные атаки. При подготовке к целенаправленной атаке опытный противник примет во внимание защитные меры, которые имеет цель, программное обеспечение, используемое целью, и ресурсы, доступные противнику для выполнения атаки, такие как ботнет. Принятие во внимание этой информации помогает противнику решить, какой вектор будет иметь наибольшее влияние на цель. В более общих атаках, когда целью противника может быть не более чем привлечение внимания, вы можете увидеть, что эта логика работает в обратном направлении, сначала принимая во внимание их ресурсы, а затем выбирая мягкую цель, восприимчивую к атаке. Сегодня мы поговорим об атаках прикладного уровня.

Атаки прикладного уровня, также известные как атаки уровня 7 по модели OSI, включают атаки, нацеленные на уязвимости в веб-службах сервера, таких как Apache, IIS, NGINX и т. д., а также флуд с использованием методов GET и POST через HTTP/S. На этот вектор DDoS приходится около 20% всех DDoS-атак. Одним из недавних примеров атак прикладного уровня были атаки Mirai на DNS-серверы Dyn, которые недавно вызвали массовые перебои в работе Интернета, когда для усиления атаки была сформирована бот-сеть с использованием устройств из Интернета вещей.

Атаки прикладного уровня измеряются количеством запросов в секунду (rps). В частности, в мире WordPress наиболее заметным недавним примером атаки прикладного уровня были DDoS-атаки xmlrpc.php, которые инициируют POST-флуд в форме пингбэков, когда злоумышленник провоцирует сторонний сервер отправлять пингбэк на сервер-жертву в своего рода рефлексивной атаке с использованием функций в файле WordPress xmlrpc.php. Эксплойт использовался широко, что привело к многочисленным временным перебоям в работе веб-сайтов WordPress по всему миру. Простота выполнения атаки на основе xmlrpc.php ускорила ее широкое распространение, чего можно было добиться с помощью очень небольшого объема кода.

Однако не все атаки прикладного уровня могут быть выполнены с такой легкостью. Опытные злоумышленники часто тщательно планируют атаку, которая включает в себя значительный объем кода и сложность. Например, путем развертывания множества специально созданных безголовых браузеров PhantomJS, установленных на компьютерах ботнет-зомби и способных хранить файлы cookie сеанса, а также имитировать отпечатки пальцев браузера обычного посетителя. Сети брандмауэров веб-приложений антивирусных компаний стали свидетелем такой продвинутой постоянной атаки, получившей название DDoS-атаки с использованием безголового браузера, со стороны составного ботнета, состоящего из 180 000 зомби, пиковая скорость которого достигала более 6000 обращений в секунду и продолжалась более 150 часов.

Различная сложность атак прикладного уровня показала, что ни один метод смягчения последствий не способен защитить от них всех, поэтому многие решения для конечных точек могут оказаться неэффективными. Самый эффективный способ защиты от огромного разнообразия векторов — использование распределенного облачного брандмауэра веб-приложений от надежной антивирусной компании, который защищает от DDoS-атак на уровнях 3, 4 и 7.

Какова бы ни была причина, по которой страница сайта не открывается, например DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.

Компания Mainton - разработка программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.