Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
В условиях роста числа DDoS-атак прикладного уровня рекомендуется дополнить защиту от ботов набором гибких правил.
CDN-провайдер Cloudflare зафиксировал мощный всплеск DDoS-атак прикладного уровня. Тенденция к росту числа таких инцидентов наблюдалась и ранее, однако в текущем месяце специалисты компании временами регистрировали до 1000 атак уровня 7 в сутки, тогда как обычно эта норма составляет порядка 160.
По всей видимости, методы пресечения более мощных DDoS сетевого уровня (3 и 4) стали более действенными, и дидосерам пришлось переключиться на атаки, нацеленные на истощение ресурсов на сервере. Аналогичный тренд отметили в своих отчетах ведущие специалисты по защите от DDoS-атак — Incapsula, Akamai, Arbor.
Хорошо выстроенная атака уровня приложений позволяет эффективно вывести из строя мишень и без забивания каналов связи. Интенсивность вредоносного потока, ныне наблюдаемого в Cloudflare, зачастую превышает 1 млн запросов в секунду.
Типовой мерой защиты от подобных DDoS, обычно проводимых с ботнетов, является снижение скорости обработки подозрительных запросов — или блокировка их источников по IP-адресам. Однако практика показала, что этого недостаточно.
Идентифицировать и отсечь вредоносный бот-трафик способны обычные средства проверки, реализованные на уровне интерфейса пользователя либо API — такие как CAPTCHA. Однако автор записи в блоге Cloudflare считает, что при этом не менее важно использовать набор правил, которые ограничивают число попыток входа и время, а также диктуют активацию блокировки или ограничения скорости при превышении лимита.
Чтобы не раздувать списки подозрительных IP-адресов, в CDN-сети Cloudflare были введены специальные атрибуты в заголовках сообщений, возвращаемых источником серверу в ходе таких проверок. Эта мера, запущенная для корпоративных пользователей, позволила различать источники тревожно большого трафика по степени агрессивности и соответственно варьировать сроки действия блокировки.
Ограничение скорости для IP-адресов, вводимое в соответствии с действующими правилами, поможет защитить веб-приложения и от потока умышленно сложных запросов, требующих много времени на ответ и способных повлечь отказ, — таких как поиск несуществующего пользователя по базе данных. В Cloudflare называют подобный вид нападения enumeration attack — атака с целью вызвать перечисление доступных ресурсов.
В начале года средства ограничения скорости, используемые в CDN-сети, помогли отразить мощнейшую попытку подобной DDoS. За шесть часов защитная система заблокировала более 100 млн злонамеренных запросов к базе данных одного из клиентов компании.
Хорошо организованное ограничение скорости способно также защитить от несанкционированного сбора содержимого сайта (content scraping) автоматизированными средствами — к примеру, копирования защищенных авторским правом изображений с целью их тиражирования. В этом случае при создании правил важно предельно точно определить URL, доступ к которым следует охранять, иначе пострадает другой контент.
В целом рекомендации Cloudflare по защите от атак уровня приложений можно свести к одной фразе: грамотно составленные правила способны решить эту проблему. В одноименной CDN-сети наборы таких правил, активируемых на уровне брандмауэра, будут в ближайшее время расширены с трех до 10-15.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |