A pesquisa da Indusface em mais de 1.400 sites registrou um aumento significativo em ataques DDoS e ataques de bot durante o segundo trimestre de 2023, em comparação com o primeiro trimestre de 2023. Observamos um Aumento de 75% nos ataques DDoS e um aumento de 48% nos ataques de bots.
Além disso, as tendências recentes nos ataques DDoS indicam uma evolução significativa para além do bot Mirai, levando ao surgimento de botnets de próxima geração que representam uma ameaça muito maior. Um deles é um ataque HTTP DDoS de baixa taxa por bot.
Ataque HTTP DDoS de baixa taxa por bot
Um ataque HTTP DDoS de baixa taxa por bot é um tipo de ataque cibernético em que muitos dispositivos comprometidos ou controlados, geralmente chamados de bots, enviam um número relativamente pequeno de solicitações HTTP para um servidor web ou aplicativo de destino durante um período prolongado.
Ao contrário dos ataques tradicionais de botnets, que inundam o alvo com solicitações massivas, os ataques de baixa taxa por bot concentram-se na furtividade e na persistência.
Neste ataque, cada bot envia solicitações a uma taxa que é intencionalmente mantida baixa para evitar o acionamento de mecanismos de limitação ou detecção de taxa. No entanto, o efeito cumulativo dessas solicitações de vários bots ainda pode sobrecarregar o servidor ou aplicativo de destino, causando interrupção do serviço.
Documento
O objetivo principal de um ataque HTTP DDoS de baixa taxa por bot é passar despercebido pelas medidas de segurança, imitando o tráfego de usuários legítimos. Isto torna um desafio para as soluções de segurança diferenciar entre solicitações maliciosas e legítimas, já que o tráfego de ataque parece menos notável devido à taxa reduzida de solicitações por bot.
Ataque HTTP DDoS de baixa taxa contra uma empresa Fortune 500
Como as organizações podem se proteger contra esses ataques DDoS crescentes? Uma abordagem alternativa à limitação de taxa estática é a proteção DDoS baseada em comportamento, e é isso que a AppTrana faz.
Algumas semanas atrás, nossa equipe, usando a plataforma AppTrana, descobriu um ataque HTTP DDoS direcionado a um aplicativo de uma empresa Fortune 500. Este ataque foi executado por uma botnet composta por milhares de bots individuais.
A magnitude do ataque HTTP Flooding foi de 3.000 a 14.000 vezes maior do que a taxa típica de solicitação por minuto experimentada pelo site. Além disso, este ataque usou aproximadamente 8 milhões de endereços IP exclusivos durante seu controle de duas semanas.
Embora eficaz contra ataques DDoS específicos, a limitação da taxa revelou-se inadequada neste cenário, uma vez que alguns IPs enviavam apenas um pedido por minuto e ajustar o limite da taxa para um nível tão baixo não era uma solução viável.
O que diferenciou esse ataque foi seu direcionamento distinto a URLs base, muitos dos quais eram inexistentes ou não acessíveis ao público, como /404, /admin e /config.
O grande aumento no tráfego no aplicativo levou a uma diminuição na velocidade, aumentou a utilização da largura de banda e interrompeu a capacidade de usuários legítimos acessarem os serviços.
AppTrana detectamos todas essas anomalias e nossa equipe de serviços gerenciados implantou estrategicamente uma solução personalizada para reduzir esses ataques a zero.
Examine a abordagem abrangente e as soluções fornecidas pela Indusface e os resultados alcançados aqui.
Recomendação para proteger sua empresa contra ataques de bots
Com base em nossas observações no estudo de caso do cliente, aqui estão algumas recomendações para aprimorar estratégias de mitigação de ataques DDoS, com foco em ameaças mais avançadas.
- Evite aplicar limites de taxa no nível do domínio, pois adicionar vários URLs a um domínio pode reduzir as solicitações por página necessárias para acionar limites de taxa. Isso pode resultar no bloqueio desnecessário de solicitações legítimas ou, se você compensar aumentando os limites de taxa geral, permitir a passagem de muitas solicitações maliciosas.
- Em vez disso, estabeleça limites de taxa no nível do URL para gerenciar o acesso a URLs ou conjuntos de URLs específicos. Você pode definir limites de taxas distintos para cada URL, e os servidores podem bloquear solicitações que excedam esses limites.
- Personalize as taxas de solicitação com base na duração da sessão (tempo gasto conectado) para detectar comportamentos anormais que possam sinalizar atividades maliciosas e evitar proativamente a sobrecarga do servidor. Por exemplo, implementamos uma regra para bloquear o IP que acessa a URL do cliente mais de 20 vezes por minuto, por ser considerado um comportamento anormal.
- Monitore os limites de taxa no nível do endereço IP para restringir o número de solicitações ou conexões de endereços IP individuais. A implementação da lista negra de IP, onde fontes maliciosas conhecidas são adicionadas a uma lista negra, simplifica o bloqueio do tráfego de endereços IP associados a ataques DDoS.
- Considere a implementação de limitação de taxa com base geográfica, que envolve a avaliação instantânea da reputação dos endereços IP e dos dados de geolocalização para verificar as fontes de tráfego. Como prática recomendada, recomendamos incorporar a delimitação geográfica como medida padrão para todas as aplicações locais.
- Ajuste o nível de tolerância dos módulos de bot para se alinhar aos requisitos do seu negócio e à tolerância ao risco. Mudamos o nível de tolerância de alto para baixo neste cenário.
- Conduza uma análise completa das tendências de solicitação de ataque durante um período específico. Após a análise, implemente regras de mitigação de bots adequadamente.