Tấn công DDOS ở tầng ứng dụng

1. Tấn công DDOS ở tầng ứng dụng là gì?

Tấn công DDOS ở tầng ứng dụng hay tấn công DDOS Layer 7 (L7) đề cập đến những hành vi nguy hiểm. Được làm để tấn công mục tiêu là tầng cao nhất của mô hình OSI. Nơi mà các yêu cầu phổ biến trên internet như HTTP GET, HTTP POST diễn ra. Các cuộc tấn công L7 này trái ngược với tấn công vào tầng mạng như tấn công khuếch đại DNS. Các cuộc tấn công L7 này còn có hiệu quả hơn do việc tiêu thụ tài nguyên máy chủ.

2. Tấn công ở tầng ứng dụng hoạt động như thế nào?

Hiệu quả cơ bản của hầu hết các cuộc tấn công DDOS xuất phát từ sự chênh lệch tài nguyên của kẻ tấn công và tài nguyên của nạn nhân. Trong khi vẫn là cuộc tấn công L7, hiệu quả của việc tấn công làm ảnh hưởng đến cả máy chủ và mạng. Đòi hỏi một lượng băng thông ít hơn để có đạt được mong muốn của kẻ tấn công. Có thể nói đơn giản hơn rằng tấn công L7 có hiệu quả hơn chỉ với ít băng thông hơn.

Để tìm hiểu lý do tại sao lại như vậy chúng ta phải xem đến sự khác biệt về mức tiêu thụ tài nguyên giữa người dùng khi gửi request và máy chủ phản hồi request đó. Ví dụ như khi một người gửi yêu cầu đăng nhập vào Gmail, lượng dữ liệu và tài nguyên tiêu thụ trên máy người dùng phải sử dụng rất ít. Không đáng kể nếu so với lượng tài nguyên khi máy chủ xử lý thông tin đăng nhập trên máy chủ.

Ngay cả khi không có thông tin đăng nhập, máy chủ nhận yêu cầu từ người dùng và phải thực hiện các yêu cầu truy vấn đến API, Databases. Để tạo trang web và trả lời đến phía người dùng. Khi sự chênh lệch về tài nguyên này được phóng to do quá nhiều thiết bị nhắm đến một thuộc tính hay mục tiêu nào đó trên ứng dụng như trong một cuộc tấn công botnet sẽ dẫn đến việc từ chối dịch vụ. Trong nhiều trường hợp chỉ cần nhắm đến các API với các cuộc tấn công L7 là đủ để một ứng dụng từ chối dịch vụ.

3. Tại sao lại khó để ngăn cản một cuộc tấn công L7

Việc phân biệt traffic sạch, traffic tấn công rất khó khăn. Đặc biệt như trong trường hợp tấn công HTTP Flood. Bởi vì mỗi bot trong mạng botnet tạo ra các yêu cầu mạng gần như là bình thường. Traffic truy cập vào ứng dụng ko bị giả mạo và có thể xuất hiện bình thường.

Chống tấn công DDOS layer 7 phải có một công cụ có khả năng điều chỉnh lượng traffic. Đặc biệt phải theo các rule và có thể dao động thường xuyên. Các công cụ như WAF khi cấu hình đúng có thể giảm thiểu lượng traffic không có thật truyền đến máy chủ gốc chứa ứng dụng web.

4. Các phương án giảm thiểu các cuộc tấn công L7

Để giảm thiểu tấn công bạn nên kiểm tra xem thiết bị truy cập vào ứng dụng có phải là bot hay không. Cụ thể bằng các kiểm tra thông qua mã captcha. Cách này có thể giảm thiểu được kẻ tấn công gửi yêu cầu đến ứng dụng thật.

Phương án khác có thể sử dụng là sử dụng web application firewall. Bằng cách quản lý và và lọc traffic đi vào ứng dụng web. Việc quản lý và lọc traffic đi vào dựa trên cơ sở dữ liệu IP và các rule. Nó đã được định sẵn bởi người quản lý hệ thống mạng.