Содержание статьи
Что такое HTTP-флуд-атака
HTTP-флуд - это тип распределенного отказа в обслуживании (DDoS), при котором злоумышленник использует кажущиеся законными запросы HTTP GET или POST для атаки на веб-сервер или приложение.
Атаки HTTP-флуда - это объемные атаки, часто с использованием ботнета «армии зомби» - группы компьютеров, подключенных к Интернету, каждый из которых был злонамеренно захвачен, обычно с помощью вредоносного ПО, такого как троянские кони.
Изощренная атака уровня 7, HTTP-потоки не используют искаженные пакеты, методы спуфинга или отражения и требуют меньшей полосы пропускания, чем другие атаки, чтобы вывести из строя целевой сайт или сервер.
По сути, они требуют более глубокого понимания целевого сайта или приложения, и каждая атака должна быть специально спроектирована, чтобы быть эффективной. Это значительно усложняет обнаружение и блокирование атак HTTP-флуда.
Описание атаки
Когда HTTP-клиент, такой как веб-браузер, «разговаривает» с приложением или сервером, он отправляет HTTP-запрос - обычно один из двух типов запросов: GET или POST. Запрос GET используется для получения стандартного статического контента, такого как изображения, в то время как запросы POST используются для доступа к динамически генерируемым ресурсам.
Imperva смягчает масштабный HTTP-поток: 690 000 000 DDoS-запросов с 180 000 IP-адресов ботнетов.
Атака наиболее эффективна, когда она заставляет сервер или приложение выделять максимально возможные ресурсы в ответ на каждый отдельный запрос. Таким образом, злоумышленник, как правило, стремится завалить сервер или приложение множеством запросов, каждый из которых требует максимальной обработки.
По этой причине атаки HTTP-флуда с использованием POST-запросов, как правило, являются наиболее ресурсоэффективными с точки зрения злоумышленника; поскольку запросы POST могут включать параметры, запускающие сложную обработку на стороне сервера. С другой стороны, атаки на основе HTTP GET проще создать, и их можно более эффективно масштабировать в сценарии ботнета.
Методы смягчения
Атаки HTTP-флуда очень трудно отличить от действительного трафика, поскольку они используют стандартные URL-запросы. Это делает их одной из самых сложных проблем безопасности, не связанных с уязвимостями, с которыми сегодня сталкиваются серверы и приложения. Традиционное обнаружение на основе скорости неэффективно при обнаружении атак HTTP-флуда, поскольку объем трафика в HTTP-потоках часто находится ниже пороговых значений обнаружения.
Наиболее эффективный механизм смягчения последствий основан на комбинации методов профилирования трафика, включая определение репутации IP, отслеживание аномальной активности и использование прогрессивных проблем безопасности (например, запрос на синтаксический анализ JavaScript).
Решение для защиты веб-приложений основано на уникальном механизме классификации клиентов, который анализирует и классифицирует весь входящий трафик сайта. Это решение для защиты от DDoS-атак специально разработано для прозрачного выявления вредоносного трафика ботов, останавливая все HTTP-потоки и другие DDoS-атаки на уровне приложений (OSI Layer 7).
Более того, в решениях Imperva используются уникальные методы краудсорсинга и репутации, позволяющие детально контролировать, кто может получить доступ к определенному веб-сайту или приложению.
- Что такое HTTP-флуд-атака
- Описание атаки
- Методы смягчения
Что такое HTTP-флуд-атака
HTTP-флуд - это тип распределенного отказа в обслуживании (DDoS), при котором злоумышленник использует кажущиеся законными запросы HTTP GET или POST для атаки на веб-сервер или приложение.
Атаки HTTP-флуда - это объемные атаки, часто с использованием ботнета «армии зомби» - группы компьютеров, подключенных к Интернету, каждый из которых был злонамеренно захвачен, обычно с помощью вредоносного ПО, такого как троянские кони.
Изощренная атака уровня 7, HTTP-потоки не используют искаженные пакеты, методы спуфинга или отражения и требуют меньшей полосы пропускания, чем другие атаки, чтобы вывести из строя целевой сайт или сервер.
По сути, они требуют более глубокого понимания целевого сайта или приложения, и каждая атака должна быть специально спроектирована, чтобы быть эффективной. Это значительно усложняет обнаружение и блокирование атак HTTP-флуда.
Описание атаки
Когда HTTP-клиент, такой как веб-браузер, «разговаривает» с приложением или сервером, он отправляет HTTP-запрос - обычно один из двух типов запросов: GET или POST. Запрос GET используется для получения стандартного статического контента, такого как изображения, в то время как запросы POST используются для доступа к динамически генерируемым ресурсам.
Imperva смягчает масштабный HTTP-поток: 690 000 000 DDoS-запросов с 180 000 IP-адресов ботнетов.
Атака наиболее эффективна, когда она заставляет сервер или приложение выделять максимально возможные ресурсы в ответ на каждый отдельный запрос. Таким образом, злоумышленник, как правило, стремится завалить сервер или приложение множеством запросов, каждый из которых требует максимальной обработки.
По этой причине атаки HTTP-флуда с использованием POST-запросов, как правило, являются наиболее ресурсоэффективными с точки зрения злоумышленника; поскольку запросы POST могут включать параметры, запускающие сложную обработку на стороне сервера. С другой стороны, атаки на основе HTTP GET проще создать, и их можно более эффективно масштабировать в сценарии ботнета.
Методы смягчения
Атаки HTTP-флуда очень трудно отличить от действительного трафика, поскольку они используют стандартные URL-запросы. Это делает их одной из самых сложных проблем безопасности, не связанных с уязвимостями, с которыми сегодня сталкиваются серверы и приложения. Традиционное обнаружение на основе скорости неэффективно при обнаружении атак HTTP-флуда, поскольку объем трафика в HTTP-потоках часто находится ниже пороговых значений обнаружения.
Наиболее эффективный механизм смягчения последствий основан на комбинации методов профилирования трафика, включая определение репутации IP, отслеживание аномальной активности и использование прогрессивных проблем безопасности (например, запрос на синтаксический анализ JavaScript).
Решение для защиты веб-приложений основано на уникальном механизме классификации клиентов, который анализирует и классифицирует весь входящий трафик сайта. Это решение для защиты от DDoS-атак специально разработано для прозрачного выявления вредоносного трафика ботов, останавливая все HTTP-потоки и другие DDoS-атаки на уровне приложений (OSI Layer 7).
Более того, в решениях Imperva используются уникальные методы краудсорсинга и репутации, позволяющие детально контролировать, кто может получить доступ к определенному веб-сайту или приложению.