[Информационная безопасность, IT-инфраструктура, API] Предотвращение медленных маломощных атак на приложения и API (перевод)
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
Может показаться, что медленные маломощные атаки (так называемые атаки «Low and Slow») остались в прошлом, но практика показывает, что они до сих пор активно используются злоумышленниками. В 2020 году от таких атак пострадали 65 % организаций, при этом 30 % сталкивались с ними ежемесячно. Поэтому давайте уделим им заслуженное внимание и расскажем, как они осуществляются.Если злоумышленник хочет парализовать работу приложения, самый простой способ — передача избыточного объема трафика с целью отключения сервера приложения (распределенная атака типа «отказ в обслуживании», или DDoS). Однако сегодня существует немало технологий, способных обнаруживать и блокировать такие атаки на основе IP-адресов или сигнатур, управления квотами, а также с помощью специализированных решений для предотвращения DDoS-атак.В начале 2021г. мир столкнулся с возвращением старой, но очень действенной техники атак — медленными маломощными атаками. К концу февраля количество атак этого типа, направленных против клиентов Radware, выросло на 20 % по сравнению с четвертым кварталом 2020 года.Что такое медленные маломощные атаки (Low and Slow)?Вместо того чтобы создавать внезапный избыток трафика, медленные маломощные атаки проводятся с минимальной активностью и не регистрируются системами. Они нацелены на то, чтобы вывести объект из строя незаметно, создавая минимальное число подключений и оставляя их незавершенными как можно дольше.Как правило, злоумышленники отправляют частичные HTTP-запросы и небольшие пакеты данных или сообщения для проверки активности, чтобы подключение оставалось активным. Подобные атаки не только трудно заблокировать, но и сложно засечь.Существует несколько известных инструментов, позволяющих нарушителям осуществлять такие атаки, в том числе SlowLoris, SlowPost, SlowHTTPTest, Tor’s Hammer, R.U.Dead.Yet и LOIC.Медленные маломощные атаки, которые ранее с успехом использовались для блокировки приложений, находили путь к цели через API, которые защищены в меньшей степени, чем приложения. В связи с малым объемом трафика, а также с тем, что атаки могут выглядеть как стандартные подключения к ресурсам приложения или сервера, требуется другая технология предотвращения. Источники атак необходимо блокировать исходя из особенностей выполнения запросов, а не на основе репутации.Блокировка на основе поведенияСинхронизация компонентов обнаружения и предотвращения атак — это одна из причин признания Radware лидером отрасли средств защиты от DDoS-атак. Обучающиеся алгоритмы анализа поведения отслеживают и измеряют время ответа на запросы подключения TCP на стороне клиента и сервера, чтобы убедиться, что отправитель запроса взаимодействует с приложением должным образом.Подобный мониторинг осуществляется без обращения к приложению и не представляет для него никакого риска, поскольку защита выполняется на уровне сессии. Последующие попытки атаки блокируются на периметре сети с использованием уникальных механизмов сигнализации и автоматизированных рабочих процессов без ущерба для работы приложения.
===========
Источник:
habr.com
===========
===========
Автор оригинала: Бен Зильберман (Ben Zilberman)
===========Похожие новости:
- [Информационная безопасность, Системное администрирование, Сетевые технологии] Интеграция SAML в Zimbra OSE
- [Информационная безопасность, Софт] Новое обновление Windows 10 самостоятельно удаляет из системы uTorrent
- [IT-инфраструктура, Производство и разработка электроники, Компьютерное железо, Процессоры] Внедрение DDR5 будет молниеносным: к 2026 году новая память займет 90% рынка
- [Open source, Python, Интервью] Разработчик популярного веб-фреймворка FastAPI — об истории его создания и перспективах аннотаций типов Python (перевод)
- [Информационная безопасность, IT-инфраструктура, Микросервисы] Защита приложений в эпоху микросервисов (перевод)
- [JavaScript, Google Chrome, API, Расширения для браузеров, Реверс-инжиниринг] Как я доделал функции за Яндекс.Музыкой
- [Системное администрирование, IT-инфраструктура, DevOps, Kubernetes] Как мы собираем общие сведения о парке из Kubernetes-кластеров
- [IT-инфраструктура, Сетевые технологии, Законодательство в IT, IT-компании] В Госдуме решили освободить небольших операторов связи от установки оборудования ТСПУ от РКН
- [Информационная безопасность] Реалити Уиннер досрочно освободили из тюрьмы за хорошее поведение
- [Информационная безопасность, Реверс-инжиниринг] Использование Windbg для обратной разработки
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_itinfrastruktura (IT-инфраструктура), #_api, #_zaschita_informatsii (защита информации), #_zaschita_dannyh (защита данных), #_kiberbezopasnost (кибербезопасность), #_zaschita_prilozhenij (защита приложений), #_zaschita_api (защита api), #_otkaz_v_obsluzhivanii (отказ в обслуживании), #_predotvraschenie_atak (предотвращение атак), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_itinfrastruktura (
IT-инфраструктура
), #_api
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 06-Май 19:15
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
|
Может показаться, что медленные маломощные атаки (так называемые атаки «Low and Slow») остались в прошлом, но практика показывает, что они до сих пор активно используются злоумышленниками. В 2020 году от таких атак пострадали 65 % организаций, при этом 30 % сталкивались с ними ежемесячно. Поэтому давайте уделим им заслуженное внимание и расскажем, как они осуществляются.Если злоумышленник хочет парализовать работу приложения, самый простой способ — передача избыточного объема трафика с целью отключения сервера приложения (распределенная атака типа «отказ в обслуживании», или DDoS). Однако сегодня существует немало технологий, способных обнаруживать и блокировать такие атаки на основе IP-адресов или сигнатур, управления квотами, а также с помощью специализированных решений для предотвращения DDoS-атак.В начале 2021г. мир столкнулся с возвращением старой, но очень действенной техники атак — медленными маломощными атаками. К концу февраля количество атак этого типа, направленных против клиентов Radware, выросло на 20 % по сравнению с четвертым кварталом 2020 года.Что такое медленные маломощные атаки (Low and Slow)?Вместо того чтобы создавать внезапный избыток трафика, медленные маломощные атаки проводятся с минимальной активностью и не регистрируются системами. Они нацелены на то, чтобы вывести объект из строя незаметно, создавая минимальное число подключений и оставляя их незавершенными как можно дольше.Как правило, злоумышленники отправляют частичные HTTP-запросы и небольшие пакеты данных или сообщения для проверки активности, чтобы подключение оставалось активным. Подобные атаки не только трудно заблокировать, но и сложно засечь.Существует несколько известных инструментов, позволяющих нарушителям осуществлять такие атаки, в том числе SlowLoris, SlowPost, SlowHTTPTest, Tor’s Hammer, R.U.Dead.Yet и LOIC.Медленные маломощные атаки, которые ранее с успехом использовались для блокировки приложений, находили путь к цели через API, которые защищены в меньшей степени, чем приложения. В связи с малым объемом трафика, а также с тем, что атаки могут выглядеть как стандартные подключения к ресурсам приложения или сервера, требуется другая технология предотвращения. Источники атак необходимо блокировать исходя из особенностей выполнения запросов, а не на основе репутации.Блокировка на основе поведенияСинхронизация компонентов обнаружения и предотвращения атак — это одна из причин признания Radware лидером отрасли средств защиты от DDoS-атак. Обучающиеся алгоритмы анализа поведения отслеживают и измеряют время ответа на запросы подключения TCP на стороне клиента и сервера, чтобы убедиться, что отправитель запроса взаимодействует с приложением должным образом.Подобный мониторинг осуществляется без обращения к приложению и не представляет для него никакого риска, поскольку защита выполняется на уровне сессии. Последующие попытки атаки блокируются на периметре сети с использованием уникальных механизмов сигнализации и автоматизированных рабочих процессов без ущерба для работы приложения. =========== Источник: habr.com =========== =========== Автор оригинала: Бен Зильберман (Ben Zilberman) ===========Похожие новости:
Информационная безопасность ), #_itinfrastruktura ( IT-инфраструктура ), #_api |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 06-Май 19:15
Часовой пояс: UTC + 5