DDoS (paskirstytas atsisakymas teikti paslaugas) ir DoS (atsisakymas įteikti paslaugas) atakas galima plačiai suskirstyti į tris kategorijas, atsižvelgiant į OSI modelio, į kurį jos nukreiptos, sluoksnius: tinklo sluoksnis (Layer 3), transport layer (Layer 4), and application layer (Layer 7).

Layer 3 and Layer 4 attacks are typically less complex–even though that they might be very challenging to mitigate–and involve flooding the network and transport layer with traffic, overburdening the target system’s resources and making it unavailable to legitimate users. These types of attacks can be launched using various techniques such as ICMP floods, TCP SYN floods, or UDP floods.

An ICMP flood for example, is a Layer 3 attack in which a large number of ICMP packets are flooded into to the target system, rendering it unresponsive. A TCP SYN flood, on the other hand, is a layer 4 attack which exploits the ways TCP connections are established.

In a SYN flood attack, the attacker sends many SYN packets to the target system, bet niekada nesiunčia ACK paketo, kad užbaigtų ryšį. Tai verčia sistemą skirti išteklius kiekvienam ryšio bandymui, o tai galiausiai persisunkia sistemą ir daro ją neprieinamą teisėtiems naudotojams. UDP srautas siunčia didelį kiekį UDP paketų į tikslinę sistemą, naudodamas jos išteklius ir paversdamas ją neatsakančia.

Taikymo sluoksnis DDoS atakos

Programinės įrangos sluoksnio atakos yra sudėtingesnės ir sunkiau suvaldomos nei sluoksnio 3 ir sluoksnio 4 atakos. Šios atakos taikosi į tikslinės sistemos programinės įrangos sluoksnį (sluoksnį 7) ir išnaudoja pačios programinės įrangos silpnybes. Layer 7 atakos gali padaryti didesnę žalą, nes jos gali tiesiogiai paveikti programėles ir pagrindinę infrastruktūrą. Jūs negalėsite suvaldyti sluoksnio 7 DDoS atakas su sluoksnio 3 ar sluoksnio 4 įrankiais, pavyzdžiui, tinklo ugniasienėmis.

HTTP srautai, Slowloris atakos, and DNS amplification attacks are Layer 7 denial of service attacks. These attacks require more sophisticated defenses such as application-layer firewalls, intrusion prevention systems, and CDN (content delivery networks).

HTTP srautai

HTTP floods attacks are performed using GET or POST requests to overwhelm the target server. Flood attacks using GET requests are usually simpler and require fewer resources because they only ask for information from the server. POST requests, on the other hand, typically require sending large amounts of data.

One of the reasons HTTP flood attacks are difficult to mitigate is that they are often launched from a large number of sources, making it difficult to identify and block all malicious traffic. Additionally, puolėjai gali naudoti tokias technikas kaip IP klastojimas, kad maskuotų savo tikrąją tapatybę ir dar labiau apsunkintų atakų šaltinio nustatymą.

Gynimasis nuo HTTP potvynio atakų gali būti sudėtingas. Skirtingi atakų tipai reikalauja skirtingų mažinimo strategijų. Įprastos gynybos priemonės nuo HTTP potvynio atakų apima spartos ribojimą, juodąjį sąrašą, ir žiniatinklio programų ugniasienes. Vis dėlto, šios technikos gali reikalauti daug išteklių ir gali būti nepakankamos, kad sustabdytų sudėtingesnes atakas.

Slowloris atakos

Slowloris yra tam tikros potvynio atakos tipas, kurio tikslas – kaip žiniatinklio serveriai tvarko kliento ryšius. Ši ataka veikia atidarant daug ryšių su serveriu, bet siunčiant užklausas lėtu greičiu, laikant kiekvieną ryšį atidarytą kuo ilgiau. This type of attack can consume all available resources of the server and allows attackers to consume CPU, memory, or network bandwidth, etc. without even triggering the typical rate limiting and traffic filtering mechanisms commonly used to detect and block other types of DDoS attacks.

To carry out a Slowloris attack, attackers typically use scripts or tools that send HTTP requests to a server, but deliberately delay sending subsequent requests. The request is designed to look like a legitimate request, but with an incomplete header that keeps the connection open indefinitely. Over time, the server will have many open connections waiting for additional data from the client, causing the server to stop responding to legitimate traffic.

Slowloris attacks can be difficult to detect due to their covert design and relatively low bandwidth. This makes it an effective tool for attackers who want to sabotage their servers without triggering alerts or creating suspicion.To defend against Slowloris attacks, web servers can implement several countermeasures. For example, limit the number of connections that can be established from a single IP address or set a timeout for incomplete requests. Some web application firewalls and DDoS mitigation services have built-in protection against Slowloris attacks, using algorithms that can detect and block such traffic in real time.

Layer 7 DDoS mitigations

Rate limiting

Apribojimas pagal dažnį reiškia ribos nustatymą, kiek užklausų gali būti atlikta iš konkretaus IP adreso ar naudotojo agento per tam tikrą laikotarpį. Ši sąvoka yra labai panaši į dažnio ribojimą sluoksnyje 3 tačiau jis turi būti įgyvendintas sluoksnyje 7.

Dažnio ribojimo tikslas yra užkirsti kelią užpuolikui perkrauti internetinę programą dideliu užklausų skaičiumi, sukeliant serverio sutrikimus. Dažnio ribojimą galima įgyvendinti įvairiuose jūsų internetinės programos architektūros sluoksniuose, interneto serveryje, apkrovos balanceriuje, arba programų ugniasienėje. Įgyvendinimo procesas dažniausiai apima konkretaus IP adreso ar naudotojo agento užklausų skaičiaus sekimą ir tolesnių užklausų blokavimą pasiekus iš anksto nustatytą ribą.

A common approach for implementing rate limiting in web applications is to use middle-ware or plugins that track the number of requests made by each client and block further requests when the threshold is exceeded. is to These plugins can be configured to apply different rate limiting policies based on factors such as the type of request, user agent, or client IP address.

For example, a simple rate limiting policy can limit requests from a single IP address to a maximum of 10 requests per minute. If a client exceeds this threshold, subsequent requests are blocked until the period expires.

Application-layer rate limiting products are available for popular web servers and cloud services, including:

Apache

Apache has several modules that can be used for rate limiting, such as mod_limitipconn, kuris riboja vienu metu iš vieno IP adreso gaunamų ryšių skaičių, ir mod_qos, kuris suteikia įvairias paslaugų kokybės kontrolės priemones, įskaitant spartos ribojimą.

Be to, ModSecurity internetinių programų ugniasienė turi spartos ribojimo funkciją, leidžiančią blokuoti klientus, viršijančius nustatytą ribą. Be aukščiau minėtų modulių, Apache taip pat siūlo mod_evasive. Tai modulis, kuris gali būti naudojamas spartos ribojimui ir klientų blokavimui, viršijusiems nustatytą ribą. Aptikti ir blokuoti kenkėjiškus klientus, naudojant įvairias technikas, įskaitant IP ir naršyklės agento sekimą.

Nginx

Nginx suteikia ngx_http_limit_req modulis. Tai gali būti naudojama apriboti užklausų dažnį tam tikriems klientams pagal IP adresą ar kitus veiksnius. Šis modulis naudoja žetonų kibiro algoritmą, kad paskirstytų žetonus kiekvienam klientui pagal spartumo ribojimo politiką. Be ngx_http_limit_req modulio, Nginx taip pat teikia ngx_http_limit_conn modulį. Tai galima naudoti ribojant ryšių skaičių iš konkrečių klientų arba IP adresų. Šis modulis naudoja žetonų kibiro algoritmą, kad paskirstytų žetonus pagal spartumo ribojimo politiką.

IIS

Microsoft Interneto informacijos paslaugos (IIS) įtraukia dinaminio IP ribojimo modulį kuris gali būti naudojamas spartumo ribojimui. Šis modulis gali būti sukonfigūruotas blokuoti užklausas iš IP adresų, kurie viršija iš anksto nustatytus slenksčius, taip pat gali teikti įspėjimus ir žurnalus stebėjimui. Be Dinaminio IP ribojimo modulio, IIS taip pat teikia Užklausų filtravimo modulį, kurį galima naudoti siekiant riboti tam tikrų klientų užklausų dažnį pagal įvairius kriterijus, tokius kaip IP adresas, user agent, ir užklausos metodas.

AWS

Amazon Web Services (AWS) siūlo kelias paslaugas, kurias galima naudoti užklausų dažnio ribojimui, including AWS WAF su užklausų dažnio ribojimo funkcija.

AWS Shield teikia DDoS apsaugą, įskaitant pagal dažnį nustatytas taisykles, kurios gali blokuoti užklausas iš IP adresų, viršijančių tam tikrą slenkstį. Papildomai prie AWS WAF ir AWS Shield, AWS taip pat siūlo AWS Elastic Load Balancer. Jame yra įvairios užklausų dažnio ribojimo politikos, kurias galima konfigūruoti, kad būtų blokuojami klientai, viršijantys iš anksto nustatytus slenksčius.

Azure

Microsoft Azure siūlo kelias paslaugas, kurias galima naudoti užklausų dažnio ribojimui, įskaitant Azure Application Gateways. Jį sudaro žiniatinklio programų ugniasienė, kuri gali būti sukonfigūruota apriboti gaunamų užklausų dažnį. Additionally, Azure Front Door siūlo funkciją, ribojančią užklausų dažnį kuri gali blokuoti užklausas iš IP adresų, viršijančių iš anksto nustatytą ribą. Be Azure Application Gateway ir Azure Front Door, Azure taip pat siūlo Azure Firewall. Tai gali būti naudojama riboti užklausų dažnį ir blokuoti klientus, viršijančius nustatytą ribą.

GCP

Google Cloud Platform (GCP) siūlo Cloud Armor, žiniatinklio programų ugniasienę su galimybėmis riboti užklausų dažnį, kuri gali blokuoti užklausas iš klientų, viršijančių nustatytą ribą.

Šie programų sluoksnio užklausų dažnio ribojimo produktai gali veiksmingai sumažinti HTTP užplūdimo atakas, ribodami užklausų skaičių iš piktavalių klientų. Vis dėlto, it is important that they are properly configured to not block legitimate traffic and used in conjunction with other security measures such as firewalls and DDoS mitigation services to provide comprehensive protection against DDoS attacks.

Timeouts for incomplete requests

Below are some Slowloris application layer mitigation methods which are listed for Apache, Nginx, and IIS web-servers, and load-balancers and additional features for AWS, Azure, and GCP services:

Apache

Be aukščiau minėtų modulių, Apache also provides a module, mod_reqtimeout, that can be used to set a timeout for incoming requests. If the client sends a request that takes longer than the specified timeout, the server will close the connection. This will prevent slowloris attacks.

Nginx

Besides ngx_http_limit_conn module and ngx_http_limit_req module, Nginx also provides his ngx_http_request module. Tai gali būti naudojama apriboti laiką, per kurį upstream serveris apdoroja užklausą. Jei upstream serveris užtrunka ilgiau nei nurodytas laiko limitas, Nginx uždarys ryšį.

IIS

Papildomai prie Dinaminių IP apribojimų ir Užklausų Filtravimo modulių, IIS taip pat suteikia branduolio režimo tvarkyklę HTTP.sys. Tai leidžia nustatyti laiko limitą įeinančioms užklausoms. If the client sends a request that takes longer than the specified timeout, the server will close the connection.

AWS

Papildomai prie AWS WAF ir AWS Shield, AWS taip pat suteikia Elastic Load Balancer, kuris apima daugybę ryšio laiko limitų taisyklių, kurias galima sukonfigūruoti uždaryti ryšius, kurie užtrunka ilgiau nei nustatytas slenkstis.

Azure

Be Azure Application Gateway ir Azure Front Door, Azure taip pat suteikia Azure Load Balancer, kuris apima konfigūruojamą neveiklumo laiko limitą, kurį galima naudoti uždaryti ryšius, kurie gali būti neaktyvūs tam tikrą laiką.

GCP

Google Cloud Platform (GCP) gives numerous connection timeout alternatives for its services, which include Cloud Load Balancing, which incorporates a configurable timeout characteristic that may be used to shut connections that take longer than a predefined threshold.

Conclusion

In conclusion, DDoS and DoS attacks can be classified based on the layers of the OSI model they are targeted at, such as the network layer (Layer 3), transport layer (Layer 4), and application layer (Layer 7).

While layer 3 ir sluoksnio 4 attacks flood the network and transport layers with traffic, sluoksnį 7 attacks are more complex and exploit vulnerabilities in the applications themselves. HTTP floods and Slowloris attacks are examples of layer 7 denial of service attacks. Countermeasures against these attacks include rate limiting, juodąjį sąrašą, ir žiniatinklio programų ugniasienes. Identifying and containing attacks in real time requires a comprehensive, multi-layered defense strategy that includes monitoring, detection, and response capabilities.

Additionally, užpuolikai gali pritaikyti savo metodus ir pritaikyti savo atakas, kad išvengtų aptikimo ir saugumo priemonių. Todėl, būtina, kad organizacijos įdiegtų išsamias, multi-layered defense strategy that includes monitoring, detection, ir reagavimo galimybes, kad būtų galima greitai nustatyti ir suvaldyti atakas realiuoju laiku. Tai gali apimti pažangių mašininio mokymosi algoritmų ir elgsenos analizės naudojimą kenkėjiškiems srauto modeliams aptikti ir blokuoti.