CDN-провайдер Cloudflare зафиксировал мощный всплеск DDoS-атак прикладного уровня. Тенденция к росту числа таких инцидентов наблюдалась и ранее, однако в текущем месяце специалисты компании временами регистрировали до 1000 атак уровня 7 в сутки, тогда как обычно эта норма составляет порядка 160.

По всей видимости, методы пресечения более мощных DDoS сетевого уровня (3 и 4) стали более действенными, и дидосерам пришлось переключиться на атаки, нацеленные на истощение ресурсов на сервере. Аналогичный тренд отметили в своих отчетах ведущие специалисты по защите от DDoS-атак — Incapsula, Akamai, Arbor.

Хорошо выстроенная атака уровня приложений позволяет эффективно вывести из строя мишень и без забивания каналов связи. Интенсивность вредоносного потока, ныне наблюдаемого в Cloudflare, зачастую превышает 1 млн запросов в секунду.

Типовой мерой защиты от подобных DDoS, обычно проводимых с ботнетов, является снижение скорости обработки подозрительных запросов — или блокировка их источников по IP-адресам. Однако практика показала, что этого недостаточно.

Идентифицировать и отсечь вредоносный бот-трафик способны обычные средства проверки, реализованные на уровне интерфейса пользователя либо API — такие как CAPTCHA. Однако автор записи в блоге Cloudflare считает, что при этом не менее важно использовать набор правил, которые ограничивают число попыток входа и время, а также диктуют активацию блокировки или ограничения скорости при превышении лимита.

Чтобы не раздувать списки подозрительных IP-адресов, в CDN-сети Cloudflare были введены специальные атрибуты в заголовках сообщений, возвращаемых источником серверу в ходе таких проверок. Эта мера, запущенная для корпоративных пользователей, позволила различать источники тревожно большого трафика по степени агрессивности и соответственно варьировать сроки действия блокировки.

Ограничение скорости для IP-адресов, вводимое в соответствии с действующими правилами, поможет защитить веб-приложения и от потока умышленно сложных запросов, требующих много времени на ответ и способных повлечь отказ, — таких как поиск несуществующего пользователя по базе данных. В Cloudflare называют подобный вид нападения enumeration attack — атака с целью вызвать перечисление доступных ресурсов.

В начале года средства ограничения скорости, используемые в CDN-сети, помогли отразить мощнейшую попытку подобной DDoS. За шесть часов защитная система заблокировала более 100 млн злонамеренных запросов к базе данных одного из клиентов компании.

Хорошо организованное ограничение скорости способно также защитить от несанкционированного сбора содержимого сайта (content scraping) автоматизированными средствами — к примеру, копирования защищенных авторским правом изображений с целью их тиражирования. В этом случае при создании правил важно предельно точно определить URL, доступ к которым следует охранять, иначе пострадает другой контент.

В целом рекомендации Cloudflare по защите от атак уровня приложений можно свести к одной фразе: грамотно составленные правила способны решить эту проблему. В одноименной CDN-сети наборы таких правил, активируемых на уровне брандмауэра, будут в ближайшее время расширены с трех до 10-15.

Категории: DoS-атаки, Аналитика, Кибероборона