Ataques a la capa de aplicación - AWS Mejores prácticas para la DDoS resiliencia

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ataques a la capa de aplicación

Un atacante puede atacar la propia aplicación mediante un ataque de capa 7 o capa de aplicación. En estos ataques, similares a los ataques de infraestructura SYN inundada, el atacante intenta sobrecargar funciones específicas de una aplicación para hacer que la aplicación no esté disponible o no responda a los usuarios legítimos. A veces, esto se puede lograr con volúmenes de solicitudes muy bajos que generan solo un pequeño volumen de tráfico de red. Esto puede hacer que el ataque sea difícil de detectar y mitigar. Entre los ejemplos de ataques a la capa de aplicación se incluyen HTTP las inundaciones, los ataques que destruyen la memoria caché y las inundaciones. WordPress XML RPC

  • En un ataque de HTTP inundación, un atacante envía HTTP solicitudes que parecen provenir de un usuario válido de la aplicación web. Algunas HTTP inundaciones se dirigen a un recurso específico, mientras que HTTP las inundaciones más complejas intentan emular la interacción humana con la aplicación. Esto puede aumentar la dificultad de utilizar técnicas de mitigación comunes, como la limitación de la tasa de solicitudes.

  • Los ataques de destrucción de memoria caché son un tipo de HTTP inundación que utiliza variaciones en la cadena de consulta para evitar el almacenamiento en caché de la red de entrega de contenido. CDN En lugar de poder devolver los resultados almacenados en caché, CDN deben ponerse en contacto con el servidor de origen para cada solicitud de página, y estas búsquedas de origen suponen una carga adicional para el servidor web de aplicaciones.

  • En el caso de un WordPress XMLataque de RPC inundación, también conocido como «inundación de WordPress pingback», un atacante ataca un sitio web alojado en el software de gestión de WordPress contenido. El atacante hace un mal uso de la RPC API función XML- para generar una avalancha de HTTP solicitudes. La función pingback permite que un sitio web alojado en WordPress (Sitio A) notifique a otro WordPress sitio (Sitio B) a través de un enlace que el Sitio A ha creado al Sitio B. El Sitio B intenta entonces buscar el Sitio A para verificar la existencia del enlace. En una avalancha de pingbacks, el atacante hace un uso indebido de esta capacidad para provocar que el sitio B ataque el sitio A. Este tipo de ataque tiene una firma clara: «WordPress:» suele estar presente en el agente de usuario del encabezado de la solicitud. HTTP

Existen otras formas de tráfico malicioso que pueden afectar a la disponibilidad de una aplicación. Los robots rastreadores automatizan los intentos de acceder a una aplicación web para robar contenido o registrar información de la competencia, como los precios. Los ataques de fuerza bruta y de robo de credenciales son intentos programados para obtener acceso no autorizado a áreas seguras de una aplicación. No se trata estrictamente de DDoS ataques, pero su naturaleza automatizada puede parecerse a la de un DDoS ataque y pueden mitigarse mediante la implementación de algunas de las mismas prácticas recomendadas que se describen en este paper.

Los ataques a la capa de aplicación también pueden dirigirse a los servicios del Sistema de Nombres de Dominio (Domain Name SystemDNS). El más común de estos ataques es una inundación de DNS consultas en la que un atacante utiliza muchas DNS consultas bien formadas para agotar los recursos de un DNS servidor. Estos ataques también pueden incluir un componente de destrucción de caché en el que el atacante distribuye aleatoriamente la cadena del subdominio para evitar la caché local de cualquier solucionador determinado. DNS Como resultado, el solucionador no puede aprovechar las consultas de dominio almacenadas en caché y, en su lugar, debe ponerse en contacto repetidamente con el servidor autorizado, lo que amplifica el ataque. DNS

Si una aplicación web se entrega a través de Transport Layer Security (TLS), un atacante también puede optar por atacar el TLS proceso de negociación. TLSes caro desde el punto de vista computacional, por lo que un atacante, al generar una carga de trabajo adicional en el servidor para procesar datos ilegibles (o ininteligibles (texto cifrado)) como un apretón de manos legítimo, puede reducir la disponibilidad del servidor. En una variante de este ataque, un atacante completa el protocolo de enlace pero renegocia permanentemente el TLS método de cifrado. Como alternativa, un atacante puede intentar agotar los recursos del servidor abriendo y cerrando varias sesiones. TLS