Может показаться, что медленные маломощные атаки (так называемые атаки «Low and Slow») остались в прошлом, но практика показывает, что они до сих пор активно используются злоумышленниками. В 2020 году от таких атак пострадали 65 % организаций, при этом 30 % сталкивались с ними ежемесячно. Поэтому давайте уделим им заслуженное внимание и расскажем, как они осуществляются.
Если злоумышленник хочет парализовать работу приложения, самый простой способ — передача избыточного объема трафика с целью отключения сервера приложения (распределенная атака типа «отказ в обслуживании», или DDoS). Однако сегодня существует немало технологий, способных обнаруживать и блокировать такие атаки на основе IP-адресов или сигнатур, управления квотами, а также с помощью специализированных решений для предотвращения DDoS-атак.
В начале 2021г. мир столкнулся с возвращением старой, но очень действенной техники атак — медленными маломощными атаками. К концу февраля количество атак этого типа, направленных против клиентов Radware, выросло на 20 % по сравнению с четвертым кварталом 2020 года.
Что такое медленные маломощные атаки (Low and Slow)?
Вместо того чтобы создавать внезапный избыток трафика, медленные маломощные атаки проводятся с минимальной активностью и не регистрируются системами. Они нацелены на то, чтобы вывести объект из строя незаметно, создавая минимальное число подключений и оставляя их незавершенными как можно дольше.
Как правило, злоумышленники отправляют частичные HTTP-запросы и небольшие пакеты данных или сообщения для проверки активности, чтобы подключение оставалось активным. Подобные атаки не только трудно заблокировать, но и сложно засечь.
Существует несколько известных инструментов, позволяющих нарушителям осуществлять такие атаки, в том числе SlowLoris, SlowPost, SlowHTTPTest, Tor’s Hammer, R.U.Dead.Yet и LOIC.
Медленные маломощные атаки, которые ранее с успехом использовались для блокировки приложений, находили путь к цели через API, которые защищены в меньшей степени, чем приложения. В связи с малым объемом трафика, а также с тем, что атаки могут выглядеть как стандартные подключения к ресурсам приложения или сервера, требуется другая технология предотвращения. Источники атак необходимо блокировать исходя из особенностей выполнения запросов, а не на основе репутации.
Блокировка на основе поведения
Синхронизация компонентов обнаружения и предотвращения атак — это одна из причин признания Radware лидером отрасли средств защиты от DDoS-атак. Обучающиеся алгоритмы анализа поведения отслеживают и измеряют время ответа на запросы подключения TCP на стороне клиента и сервера, чтобы убедиться, что отправитель запроса взаимодействует с приложением должным образом.
Подобный мониторинг осуществляется без обращения к приложению и не представляет для него никакого риска, поскольку защита выполняется на уровне сессии. Последующие попытки атаки блокируются на периметре сети с использованием уникальных механизмов сигнализации и автоматизированных рабочих процессов без ущерба для работы приложения.
