BLOG | NGINX

La denegación de servicio de NGINX App Protect bloquea los ataques DoS a nivel de aplicación

NGINX - Parte de F5 - horizontal, negro, tipo RGB
Miniatura de Yaniv Sazman
Yaniv Sazman
Publicado el 6 de julio de 2021

Si bien la transformación digital está acelerando el potencial comercial, lamentablemente también está ampliando el panorama de amenazas. Mientras los equipos de seguridad están ocupados ajustándose a un alcance y una responsabilidad cada vez mayores, los atacantes se aprovechan de esto y se vuelven más sofisticados que nunca en las formas en que abusan de las aplicações para obtener ganancias financieras. En comparación con los ataques tradicionales de denegación de servicio (DoS) a nivel de red, los ataques DoS a nivel de aplicação( capa 7 ) están aumentando drásticamente, en gran parte porque pueden eludir las defensas tradicionales que no están diseñadas para arquitecturas de aplicação modernas.

Desde el punto de vista de los atacantes, los ataques DoS de capa 7 tienen dos características valiosas: requieren muy pocos recursos para crear una interrupción significativa y son difíciles de detectar. Generados mediante herramientas sofisticadas y solicitudes dirigidas con precisión, estos ataques interrumpen los servidores de aplicação y las API haciéndoles incapaces de procesar solicitudes legítimas. Cuando un servidor es bombardeado con más solicitudes de las que puede procesar, descarta solicitudes legítimas, deja de responder o incluso se bloquea.

Las soluciones tradicionales de mitigación de DoS no son efectivas para las aplicaciones modernas. Proporcionan seguridad estática basada en reglas y requieren un mantenimiento continuo para mantenerse al día con el ritmo de los cambios y las actualizaciones en el panorama de las aplicaciones modernas.

Presentamos NGINX App Protect DoS

NGINX App Protect Denial of Service (DoS) es un nuevo módulo dinámico liviano para NGINX Plus, diseñado para proteger las aplicações modernas contra los ataques DoS de aplicação más sofisticados. NGINX App Protect DoS mitiga los ataques que pretenden interrumpir y dañar las aplicações, garantizando un rendimiento continuo y la recaudación de ingresos, y preservando la fidelización de clientes y la marca en un mundo digital altamente competitivo.

NGINX App Protect DoS se puede implementar cerca de aplicações y microservicios en cualquier plataforma, arquitectura o entorno, incluidos los clústeres de Kubernetes. Se escala junto con la aplicação y mantiene una alta eficacia de seguridad en todo momento.

NGINX App Protect DoS en acción

Casos de uso de implementación

NGINX App Protect DoS se puede implementar en una variedad de ubicaciones para proteger los servicios de aplicação :

  • Edge : balanceadores de carga externos y servidores proxy
  • Controlador de ingreso : punto de entrada a Kubernetes
  • Proxy por servicio : nivel de proxy de servicio interno
  • Proxy por pod : proxy integrado en el pod
  • Puerta de enlace API : punto de entrada a microservicios

Tipos de ataques mitigados

NGINX App Protect DoS presenta protección contra múltiples tipos de ataques sofisticados:

  • Ataques de inundación GET y POST (tanto HTTP como HTTPS) El atacante intenta saturar el servidor o la API con una gran cantidad de solicitudes, dejándolo incapaz de responder a los usuarios reales.

  • Ataques “lentos” (tanto HTTP como HTTPS) Los ataques “lentos y bajos” ocupan los recursos del servidor, sin dejar ninguno disponible para atender las solicitudes de los usuarios reales. Hay dos factores que dificultan su defensa:

    • A diferencia de los ataques DDoS de red, no utilizan un gran ancho de banda, lo que hace que sea difícil distinguirlos del tráfico normal.
    • No requieren muchos recursos para su lanzamiento, por lo que se pueden enviar miles de solicitudes desde una sola computadora utilizando sofisticadas herramientas de automatización.

    Hay tres tipos principales de ataques lentos:

    • Slowloris : el atacante se conecta al servidor y envía encabezados de solicitud parciales a un ritmo lento. El servidor mantiene la conexión abierta mientras espera el resto de los encabezados, agotando el grupo de conexiones disponibles para los usuarios reales.
    • Lectura lenta : el atacante envía una solicitud HTTP bien formada, pero luego lee la respuesta a una velocidad lenta, si es que lo hace. Esto tiene el efecto acumulativo de consumir recursos del servidor, impidiendo así que se procesen solicitudes legítimas.
    • POST lento : el atacante envía encabezados HTTP POST legítimos al servidor, junto con la especificación correcta del tamaño del cuerpo del mensaje que seguirá. Luego envía el cuerpo del mensaje muy lentamente. Como el mensaje parece válido, el servidor mantiene la conexión abierta esperando que llegue el cuerpo completo. Una gran cantidad de ataques POST lentos agotan el grupo de conexiones disponibles para los usuarios reales.

  • Variaciones distribuidas de los ataques anteriores : obviamente, al utilizar varias computadoras es más fácil enviar una mayor cantidad de ataques simultáneos. Además, el volumen de tráfico de cada ordenador puede ser relativamente bajo, lo que lo hace parecer un usuario normal. Las computadoras también pueden abandonar el grupo de ataque y luego volver a unirse, lo que pone el conjunto de direcciones IP de origen en constante cambio. Estas características del tráfico hacen que las técnicas de mitigación tradicionales, como la limitación de velocidad y el bloqueo geográfico, sean menos efectivas.

  • Ataque de desafío colapsar/URI aleatorios : en un ataque de desafío colapsar (CC) , el atacante envía solicitudes frecuentes que son normales excepto que las URI solicitadas requieren la ejecución de algoritmos u operaciones de base de datos complicados y, por lo tanto, que consumen mucho tiempo y que pueden agotar los recursos del servidor de destino. El atacante también puede aleatorizar las URI y otros parámetros HTTP de manera que anule las herramientas de mitigación tradicionales, como las reglas estáticas. NGINX App Protect DoS, en cambio, se basa en algoritmos avanzados de aprendizaje automático que aumentan drásticamente la eficacia y reducen los falsos positivos.

  • Ocultarse detrás de NAT : el atacante utiliza cifrado o traducción de direcciones de red (NAT) para evadir la detección. Intentar detectar ataques rastreando únicamente la dirección IP de origen es ineficaz porque trata a todos los usuarios de NAT como atacantes, incluso si solo un usuario es el que ataca.

    NGINX App Protect DoS utiliza huellas dactilares para IPv4 para detectar con precisión a los actores maliciosos detrás de NAT. Dado que la mayor parte del tráfico se cifra mediante SSL/TLS, es posible ampliar la clave que identifica a un actor desde solo la dirección IP a la combinación de dirección IP y huella digital TLS (la huella digital se basa en el mensaje de saludo TLS).

  • Ataques SSL/TLS dirigidos : el atacante abusa del protocolo de enlace SSL/TLS. Un enfoque popular es enviar datos basura al servidor SSL/TLS de destino. Es tan costoso computacionalmente procesar un mensaje inválido como uno legítimo, pero sin un resultado útil. La mayoría de los firewalls no ayudan en este caso porque no pueden distinguir entre paquetes de protocolo de enlace SSL/TLS válidos e inválidos, e implementar el descifrado en un firewall tiene un costo prohibitivo.

    NGINX App Protect DoS utiliza un mecanismo de firmas SSL/TLS para brindar detección y mitigación basadas en anomalías en función del mensaje CLIENT HELLO, que no está cifrado y se transmite en las primeras etapas del proceso de protocolo de enlace SSL/TLS, lo que elimina el alto costo del descifrado. Además, el uso de firmas SSL/TLS junto con el mecanismo de monitoreo del estado del servidor permite la protección y mitigación de DoS sin terminación de SSL/TLS.

resumen

Es cada vez más común que los ataques DoS se dirijan a las aplicações en lugar de a la red. Debido a que muchos de estos ataques DoS de capa 7 parecen tráfico legítimo, las defensas WAF tradicionales no pueden detectarlos de manera efectiva.

Además, los atacantes continúan aprovechando nuevas tecnologías como el aprendizaje automático y la IA para lanzar ataques DoS de capa 7, lo que hace que las reglas simples y las firmas estáticas sean menos efectivas. La mitigación de DoS de capa 7 también debe evolucionar, y NGINX App Protect DoS aporta la tecnología adecuada con defensas adaptativas y dinámicas.

Si desea obtener más información sobre cómo garantizar la protección contra ataques DoS, consulte nuestro resumen de soluciones . Vea también estos blogs relacionados:

Pruebe NGINX App Protect DoS usted mismo: comience hoy mismo una prueba gratuita de 30 días o contáctenos para analizar sus casos de uso .

Leer más publicaciones de blog sobre F5 NGINX ›

"Esta publicación de blog puede hacer referencia a productos que ya no están disponibles o que ya no reciben soporte. Para obtener la información más actualizada sobre los productos y soluciones F5 NGINX disponibles, explore nuestra familia de productos NGINX . NGINX ahora es parte de F5. Todos los enlaces anteriores de NGINX.com redirigirán a contenido similar de NGINX en F5.com.