BLOG | NGINX

La protection contre le déni de service de NGINX App Protect bloque les attaques DoS au niveau des applications

NGINX-Partie-de-F5-horiz-black-type-RGB
Miniature de Yaniv Sazman
Yaniv Sazman
Publié le 06 juillet 2021

Si la transformation numérique accélère le potentiel des entreprises, elle élargit malheureusement également le paysage des menaces. Alors que les équipes de sécurité s'efforcent de s'adapter à une portée et à des responsabilités croissantes, les attaquants en profitent et deviennent plus sophistiqués que jamais dans la manière dont ils exploitent les applications à des fins financières. Par rapport aux attaques par déni de service (DoS) traditionnelles au niveau du réseau, les attaques DoS au niveau des applications ( couche 7 ) augmentent fortement, en grande partie parce qu'elles peuvent contourner les défenses traditionnelles qui ne sont pas conçues pour les architectures d'applications modernes.

Pour les attaquants, les attaques DoS de couche 7 présentent deux avantages majeurs : elles demandent très peu de ressources pour provoquer des interruptions importantes, et elles restent difficiles à repérer. Grâce à des outils sophistiqués et des requêtes ciblées avec précision, ces attaques perturbent les serveurs applicatifs et les API en les empêchant de traiter les requêtes légitimes. Quand un serveur reçoit plus de requêtes qu'il ne peut en gérer, il rejette les requêtes valides, devient non réactif, voire plante.

Les solutions traditionnelles d’atténuation des attaques DoS ne sont pas efficaces pour les applications modernes. Ils offrent une sécurité statique basée sur des règles et nécessitent une maintenance continue pour suivre le rythme des changements et des mises à jour dans le paysage des applications modernes.

Présentation de NGINX App Protect DoS

NGINX App Protect Denial of Service (DoS) est un nouveau module dynamique léger pour NGINX Plus, conçu pour protéger les applications modernes contre les attaques DoS d'applications les plus sophistiquées. NGINX App Protect DoS atténue les attaques visant à perturber et à nuire aux applications, garantissant des performances et une collecte de revenus continues, et préservant la fidélité des clients et la marque dans un monde numérique hautement concurrentiel.

NGINX App Protect DoS peut être déployé à proximité d'applications et de microservices sur n'importe quelle plate-forme, architecture ou environnement, y compris les clusters Kubernetes. Il évolue avec l'application et maintient une efficacité de sécurité élevée à tout moment.

DoS de NGINX App Protect en action

Cas d'utilisation de déploiement

NGINX App Protect DoS peut être déployé dans divers emplacements pour protéger les services d'application :

  • Edge – Équilibreurs de charge et proxys externes
  • Contrôleur d'entrée – Point d'entrée dans Kubernetes
  • Proxy par service – Niveau proxy de service intérieur
  • Proxy par pod – Proxy intégré dans le pod
  • Passerelle API – Point d’entrée dans les microservices

Types d'attaques atténuées

NGINX App Protect DoS introduit une protection contre plusieurs types d'attaques sophistiquées :

  • Attaques par inondation GET et POST – (HTTP et HTTPS) L'attaquant tente de submerger le serveur ou l'API avec un grand nombre de requêtes, le rendant incapable de répondre aux utilisateurs réels.

  • Attaques « lentes » – (HTTP et HTTPS) Les attaques « lentes et faibles » bloquent les ressources du serveur, le privant de capacité pour répondre aux requêtes des vrais utilisateurs. Deux raisons les rendent difficiles à contrer :

    • Contrairement aux attaques DDoS réseau, elles n’utilisent pas une bande passante importante, ce qui les rend difficiles à distinguer du trafic normal.
    • Ils réclament peu de ressources pour démarrer, ce qui vous permet d'envoyer des milliers de requêtes depuis un seul ordinateur grâce à des outils d'automatisation sophistiqués.

    Il existe trois principaux types d’attaques lentes :

    • Slowloris – L’attaquant se connecte au serveur et envoie des en-têtes de requête partiels à un rythme lent. Le serveur maintient la connexion ouverte en attendant le reste des en-têtes, épuisant ainsi le pool de connexions disponibles pour les utilisateurs réels.
    • Lecture lente – L’attaquant envoie une requête HTTP correcte, puis lit la réponse très lentement, voire pas du tout. Cela épuise progressivement les ressources du serveur et bloque les requêtes légitimes.
    • POST lent – L’attaquant envoie des en-têtes HTTP POST légitimes au serveur, accompagnés d’une spécification correcte de la taille du corps du message qui suivra. Il envoie ensuite le corps du message très lentement. Parce que le message semble valide, le serveur maintient la connexion ouverte en attendant l’arrivée du corps complet. Un grand nombre d’attaques POST lentes épuisent le pool de connexions disponibles pour les utilisateurs réels.

  • Variations distribuées des attaques mentionnées – Faire intervenir plusieurs ordinateurs facilite l’envoi d’un plus grand nombre d’attaques simultanées. De plus, chaque ordinateur génère un volume de trafic relativement faible, ce qui le fait passer pour un utilisateur normal. Des ordinateurs peuvent aussi sortir du groupe d’attaque pour y revenir ensuite, ce qui fait fluctuer continuellement les adresses IP sources. Ces caractéristiques du trafic réduisent l’efficacité des techniques traditionnelles comme la limitation du débit et le blocage géographique.

  • Attaque Challenge Collapsar/URI aléatoires – Lors d’une attaque Challenge Collapsar (CC), l’attaquant envoie des requêtes fréquentes qui semblent normales, mais les URI sollicitées exigent l’exécution d’algorithmes complexes ou d’opérations sur bases de données, ce qui consomme beaucoup de temps et peut épuiser les ressources du serveur ciblé. L’attaquant peut aussi randomiser les URI et d’autres paramètres HTTP pour contourner les outils d’atténuation classiques comme les règles statiques. NGINX App Protect DoS utilise des algorithmes avancés d’apprentissage automatique, qui renforcent considérablement l’efficacité tout en réduisant les faux positifs.

  • Se cacher derrière un NAT – L’attaquant utilise le chiffrement ou la traduction d'adresses réseau (NAT) pour éviter d’être détecté. Détecter les attaques uniquement par l’adresse IP source ne fonctionne pas, car vous traitez tous les utilisateurs d’un NAT comme des attaquants, alors qu’il n’y en a souvent qu’un seul.

    NGINX App Protect DoS utilise l'empreinte digitale pour IPv4 pour détecter avec précision les mauvais acteurs derrière NAT. Étant donné que la plupart du trafic est chiffré à l’aide de SSL/TLS, il est possible d’étendre la clé qui identifie un acteur à partir d’une simple adresse IP jusqu’à la combinaison de l’adresse IP et de l’empreinte digitale TLS (l’empreinte digitale étant basée sur le message Hello TLS).

  • Attaques SSL/TLS ciblées – L’attaquant abuse du protocole de négociation SSL/TLS. Une approche populaire consiste à envoyer des données indésirables au serveur SSL/TLS cible. Il est tout aussi coûteux en termes de calcul de traiter un message invalide qu'un message légitime, mais sans résultat utile. La plupart des pare-feu ne sont d’aucune aide dans ce cas, car ils ne peuvent pas faire la distinction entre les paquets de négociation SSL/TLS valides et non valides, et la mise en œuvre du décryptage sur un pare-feu est prohibitive.

    NGINX App Protect DoS utilise un mécanisme de signatures SSL/TLS pour fournir une détection et une atténuation basées sur les anomalies en fonction du message CLIENT HELLO, qui n'est pas chiffré et transmis au début du processus de négociation SSL/TLS, éliminant ainsi le coût élevé du déchiffrement. De plus, l'utilisation de signatures SSL/TLS avec le mécanisme de surveillance de l'état du serveur permet une protection et une atténuation des attaques DoS sans terminaison SSL/TLS.

Résumé

Il est de plus en plus courant que les attaques DoS ciblent les applications plutôt que le réseau. Étant donné que bon nombre de ces attaques DoS de couche 7 ressemblent à du trafic légitime, les défenses WAF traditionnelles ne peuvent pas les détecter efficacement.

De plus, les attaquants continuent d’exploiter les nouvelles technologies telles que l’apprentissage automatique et l’IA pour lancer des attaques DoS de couche 7, rendant les règles simples et les signatures statiques moins efficaces. L’atténuation des attaques DoS de couche 7 doit également évoluer, et NGINX App Protect DoS apporte la bonne technologie pour supporter des défenses adaptatives et dynamiques.

Si vous souhaitez en savoir plus sur la manière de garantir la protection DoS, consultez notre présentation de solution . Voir également ces blogs connexes :

Essayez NGINX App Protect DoS par vous-même – démarrez un essai gratuit de 30 jours dès aujourd'hui ou contactez-nous pour discuter de vos cas d'utilisation .

Lire plus d'articles de blog sur F5 NGINX ›

« Cet article de blog peut faire référence à des produits qui ne sont plus disponibles et/ou qui ne sont plus pris en charge. Pour obtenir les informations les plus récentes sur les produits et solutions F5 NGINX disponibles, explorez notre famille de produits NGINX . NGINX fait désormais partie de F5. Tous les liens NGINX.com précédents redirigeront vers un contenu NGINX similaire sur F5.com."