SeguridadMitigación de ataques de capa 7

https://comgsp.com/wp-content/uploads/2021/05/Access_Denied.jpg

Seguridad cibernética

En el ecosistema de la seguridad cibernética, los ataques DDoS alcanzan nuevos récords. Con los ataques a KrebsOnSecurity.com y Dyn se alcanzó un ancho de banda de más de 1T de tráfico.

Los expertos en seguridad esperan que el récord anterior  se rompa pronto. El récord de 1 Terabyte probablemente se batirá de nuevo a finales de este año o principios del próximo.

La parte sorprendente del último ataque fue el hecho de que este no fue el ataque reflexivo al que se acostumbró el mundo DDoS, que aprovecha los grandes servidores de Internet para amplificar las solicitudes de los atacantes. Esta vez, el ataque consistió en muchas solicitudes HTTP semi-legítimas.

Los ataques de capa 7 que están dirigidos al enlace de Internet y al servidor de aplicaciones, son mucho más difíciles de bloquear que un ataque de capa 3 y capa 4. Estos ataques también son mucho más difíciles de realizar. Pero, ¿por qué es tan difícil protegerse contra estos ataques de capa 7?

¿Que tecnología de mitigación usar?

Una buena tecnología de mitigación debe distinguir entre el tráfico legítimo y un ataque malintencionado. El mitigador debe permitir que pase el tráfico legítimo, mientras evita que el tráfico de ataque llegue al servidor de aplicaciones.

Existen varias técnicas para bloquear ataques automáticamente que nos permiten demostrar la mitigación de la capa de aplicación y mostrar la diferencia en la complejidad de la mitigación entre los ataques de red de capa 3 y 4 y los ataques de aplicación HTTP de capa 7. Veamos cada técnica una por una.

1. La técnica de solicitud de respuesta

En la capa de red, cuando se recibe un paquete “syn” desde una IP origen el mitigador puede responder con un “syn-ack” y verificar la respuesta “ack”. Solo cuando se recibe una respuesta válida de “acuse de recibo”, se permite la sesión.

En el ataque basado en aplicaciones, el dispositivo atacante responderá a dicho desafío de “sincronización” con un paquete “ack” válido. Si el mitigador desea continuar con esta técnica, necesitará más potencia de CPU, para crear un paquete con una respuesta HTTP válida que da como resultado la continuación de la sesión.

Esta técnica se puede usar para bloquear ataques, pero requiere mucha más complejidad en el código y más ciclos de CPU.

2. Identificación de patrones

El tráfico de ataque se genera utilizando algún tipo de software que lo envía desde múltiples ubicaciones. Este software generalmente tiene un patrón común que lo distingue de los usuarios legítimos dispersos.

En un ataque basado en red, el mitigador debe crear una firma de patrones repetidos. Los buenos mitigadores pueden incluso crear dichos patrones automáticamente sin intervención manual.

En la mitigación de la capa de red, el patrón coincidirá con los encabezados de la capa 3 o la capa 4. Estos encabezados son fáciles de analizar mediante software y las opciones de búsqueda son limitadas: los encabezados están bien formados y cada campo tiene un rango de valores limitado.

Entrar en la capa HTTP es mucho más complicado debido a que los encabezados HTTP están definidos de manera más flexible y los valores tienen rangos y longitudes variables.

Encontrar un patrón en HTTP es posible, pero como antes, mucho más complejo. La aplicación primero necesita analizar el paquete para llegar a la parte de la capa 7. Luego analizar las diversas partes de los encabezados y datos HTTP y luego encontrar el patrón repetido.

Incluso una vez que se encuentra el patrón, es mucho más difícil de bloquear. La acción de mitigación debe analizar los datos de la capa 3, la capa 4 y la capa 7 de cada paquete para llegar al lugar correcto donde se oculta el patrón.

3. Limitación de la tasa

Si bien es una técnica de mitigación válida, debe considerarse como un último recurso en el mundo de los ataques DDoS. El principal problema con la limitación de velocidad es la falta de capacidad para distinguir entre tráfico legítimo y de ataque.

Cuando el límite de velocidad está en acción, no sabe qué paquetes provienen de un ser humano o un bot, ya que bloquea ciegamente basándose solo en la velocidad.

En resumen, vemos que cualquier tecnología de mitigación conocida tiene que funcionar para bloquear un ataque basado en aplicaciones. Dado que los ataques basados ​​en aplicaciones ya son parte de nuestra vida, y continuarán creciendo y volviéndose más sofisticados.

Es importante encontrar un buen mitigador que realmente pueda bloquearlos y que se mantenga al día con los atacantes en constante desarrollo de métodos.

Deja una Respuesta

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

previous
Empresa 4.0 impulsada por I.A

Notice: Trying to access array offset on value of type bool in /home/lo3ouyfqq4jh/public_html/wp-content/themes/applauz/views/prev_next.php on line 36
next
Prueba de post