Може здатися, що повільні малопотужні атаки (так звані атаки «Low and Slow») залишилися в минулому, але практика показує, що вони досі активно використовуються зловмисниками. У 2020 році від таких атак постраждали 65% організацій, при цьому 30% стикалися з ними щомісяця. Тому давайте приділимо їм заслужену увагу і розповімо, як вони здійснюються.
Якщо зловмисник хоче паралізувати роботу програми, найпростіший спосіб - передача надлишкового обсягу трафіку з метою відключення сервера програми (розподілена атака типу «відмова в обслуговуванні», або DDoS). Однак сьогодні існує чимало технологій, здатних виявляти і блокувати такі атаки на основі IP-адрес або сигнатур, управління квотами, а також за допомогою спеціалізованих рішень для запобігання DDoS-атак.
На початку 2021р. світ зіткнувся з поверненням старої, але дуже дієвої техніки атак - повільними малопотужними атаками. До кінця лютого кількість атак цього типу, спрямованих проти клієнтів Radware, зросла на 20% порівняно з четвертим кварталом 2020 року.
Що таке повільні малопотужні атаки (Low and Slow)?
Замість того щоб створювати раптовий надлишок трафіку, повільні малопотужні атаки проводяться з мінімальною активністю і не реєструються системами. Вони спрямовані на те, щоб вивести об'єкт з ладу непомітно, створюючи мінімальне число підключень і залишаючи їх незавершеними якомога довше.
Як правило, зловмисники відправляють часткові HTTP-запити і невеликі пакети даних або повідомлення для перевірки активності, щоб підключення залишалося активним. Подібні атаки не тільки важко заблокувати, а й складно засікти.
Існує кілька відомих інструментів, що дозволяють порушникам здійснювати такі атаки, в тому числі SlowLoris, SlowPost, SlowHTTPTest, Tor's Hammer, R.U.Dead.Yet і LOIC.
Повільні малопотужні атаки, які раніше з успіхом використовувалися для блокування додатків, знаходили шлях до мети через API, які захищені в меншій мірі, ніж додатки. У зв'язку з малим обсягом трафіку, а також з тим, що атаки можуть виглядати як стандартні підключення до ресурсів програми або сервера, потрібна інша технологія запобігання. Джерела атак необхідно блокувати виходячи з особливостей виконання запитів, а не на основі репутації.
Блокування на основі поведінки
Синхронізація компонентів виявлення та запобігання атакам - це одна з причин визнання Radware лідером галузі засобів захисту від DDoS-атак. Навчальні алгоритми аналізу поведінки відстежують і вимірюють час відповіді на запити підключення TCP на боці клієнта і сервера, щоб переконатися, що відправник запиту взаємодіє з додатком належним чином.
Подібний моніторинг здійснюється без звернення до додатка і не становить для нього жодного ризику, оскільки захист виконується на рівні сесії. Наступні спроби атаки блокуються на периметрі мережі з використанням унікальних механізмів сигналізації та автоматизованих робочих процесів без шкоди для роботи програми.