BLOG | NGINX

NGINX App Protect Denial of Service bloqueia ataques de DoS em nível de aplicação

NGINX-Parte-de-F5-horiz-preto-tipo-RGB
Miniatura de Yaniv Sazman
Yaniv Sazman
Publicado em 06 de julho de 2021

Embora a transformação digital esteja acelerando o potencial dos negócios, infelizmente ela também está ampliando o cenário de ameaças. À medida que as equipes de segurança estão ocupadas se adaptando ao escopo e à responsabilidade cada vez maiores, os invasores estão tirando vantagem, tornando-se mais sofisticados do que nunca nas formas como abusam dos aplicativos para obter ganhos financeiros. Em comparação com os ataques tradicionais de negação de serviço (DoS) no nível da rede, os ataques DoS no nível do aplicativo ( camada 7 ) estão aumentando drasticamente, em grande parte porque eles podem ignorar as defesas tradicionais que não são projetadas para arquiteturas de aplicativos modernas.

Do ponto de vista dos invasores, os ataques DoS de Camada 7 têm duas características valiosas: eles exigem muito poucos recursos para criar interrupções significativas e são difíceis de detectar. Gerados usando ferramentas sofisticadas e solicitações direcionadas com precisão, esses ataques interrompem servidores de aplicativos e APIs, tornando-os incapazes de processar solicitações legítimas. Quando um servidor é bombardeado com mais solicitações do que pode processar, ele descarta solicitações legítimas, deixa de responder ou até mesmo trava.

Soluções tradicionais de mitigação de DoS não são eficazes para aplicativos modernos. Eles fornecem segurança baseada em regras estáticas e exigem manutenção contínua para acompanhar o ritmo de mudanças e atualizações no cenário de aplicativos modernos.

Apresentando o NGINX App Protect DoS

O NGINX App Protect Denial of Service (DoS) é um novo módulo dinâmico leve para o NGINX Plus, projetado para proteger aplicativos modernos contra os ataques DoS mais sofisticados. O NGINX App Protect DoS atenua ataques que pretendem interromper e danificar aplicativos, garantindo desempenho e coleta de receita contínuos e preservando a fidelidade do cliente e a marca em um mundo digital altamente competitivo.

O NGINX App Protect DoS pode ser implantado próximo a aplicativos e microsserviços em qualquer plataforma, arquitetura ou ambiente, incluindo clusters Kubernetes. Ele é escalável junto com o aplicativo e mantém alta eficácia de segurança o tempo todo.

NGINX App Protect DoS em ação

Casos de uso de implantação

O NGINX App Protect DoS pode ser implantado em vários locais para proteger serviços de aplicativos:

  • Edge – Balanceadores de carga externos e proxies
  • Controlador de entrada – Ponto de entrada no Kubernetes
  • Proxy por serviço – Camada de proxy de serviço interno
  • Proxy por pod – Proxy incorporado no pod
  • Gateway de API – Ponto de entrada em microsserviços

Tipos de Ataques Mitigados

O NGINX App Protect DoS apresenta proteção contra vários tipos de ataques sofisticados:

  • Ataques de inundação GET e POST – (HTTP e HTTPS) O invasor tenta sobrecarregar o servidor ou a API com um grande número de solicitações, tornando-o incapaz de responder a usuários reais.

  • Ataques “lentos” – (HTTP e HTTPS) Os ataques “lentos e baixos” ocupam recursos do servidor, não deixando nenhum disponível para atender solicitações de usuários reais. Dois fatores tornam difícil defendê-los:

    • Ao contrário dos ataques DDoS de rede, eles não usam grande largura de banda, o que os torna difíceis de distinguir do tráfego normal.
    • Eles não exigem muitos recursos para serem iniciados, então milhares de solicitações podem ser enviadas de um único computador usando ferramentas de automação sofisticadas.

    Existem três tipos principais de ataques lentos:

    • Slowloris – O invasor se conecta ao servidor e envia cabeçalhos de solicitação parciais em um ritmo lento. O servidor mantém a conexão aberta enquanto aguarda o restante dos cabeçalhos, esgotando o conjunto de conexões disponíveis para usuários reais.
    • Leitura lenta – O invasor envia uma solicitação HTTP bem formada, mas lê a resposta em uma velocidade lenta, se é que lê. Isso tem o efeito cumulativo de consumir recursos do servidor, impedindo assim que solicitações legítimas sejam processadas.
    • POST lento – O invasor envia cabeçalhos HTTP POST legítimos para o servidor, completos com a especificação correta do tamanho do corpo da mensagem que se seguirá. Em seguida, ele envia o corpo da mensagem muito lentamente. Como a mensagem parece válida, o servidor mantém a conexão aberta aguardando a chegada do corpo completo. Um grande número de ataques POST lentos esgota o conjunto de conexões disponíveis para usuários reais.

  • Variações distribuídas dos ataques anteriores – Obviamente, alistar vários computadores facilita o envio de um número maior de ataques simultâneos. Além disso, o volume de tráfego de cada computador pode ser relativamente baixo, assemelhando-se ao de um usuário comum. Os computadores também podem sair do pool de ataque e depois entrar novamente, colocando o conjunto de endereços IP de origem em fluxo constante. Essas características de tráfego tornam as técnicas tradicionais de mitigação, como limitação de taxa e bloqueio geográfico, menos eficazes.

  • Ataque Challenge Collapsar/URIs aleatórios – Em um ataque Challenge Collapsar (CC) , o invasor envia solicitações frequentes que são normais, exceto que os URIs solicitados exigem a execução de algoritmos ou operações de banco de dados complicados e, portanto, demorados, que podem esgotar os recursos do servidor alvo. O invasor também pode randomizar URIs e outros parâmetros HTTPs de forma a derrotar ferramentas de mitigação legadas, como regras estáticas. O NGINX App Protect DoS depende de algoritmos avançados de aprendizado de máquina que aumentam drasticamente a eficácia e reduzem falsos positivos.

  • Escondido atrás do NAT – O invasor usa criptografia ou tradução de endereço de rede (NAT) para evitar a detecção. Tentar detectar ataques rastreando apenas o endereço IP de origem é ineficaz porque trata todos os usuários NAT como invasores, mesmo que apenas um usuário esteja atacando.

    O NGINX App Protect DoS usa impressão digital para IPv4 para detectar com precisão agentes mal-intencionados por trás do NAT. Como a maior parte do tráfego é criptografada usando SSL/TLS, é possível estender a chave que identifica um ator de apenas endereço IP para a combinação de endereço IP e impressão digital TLS (a impressão digital sendo baseada na mensagem de saudação TLS).

  • Ataques SSL/TLS direcionados – O invasor abusa do protocolo de handshake SSL/TLS. Uma abordagem popular é enviar dados inúteis para o servidor SSL/TLS de destino. É tão dispendioso em termos computacionais processar uma mensagem inválida quanto uma legítima, mas sem um resultado útil. A maioria dos firewalls não ajuda nesse caso porque não consegue distinguir entre pacotes de handshake SSL/TLS válidos e inválidos, e implementar a descriptografia em um firewall tem um custo proibitivo.

    O NGINX App Protect DoS usa um mecanismo de assinaturas SSL/TLS para fornecer detecção e mitigação baseadas em anomalias com base na mensagem CLIENT HELLO, que não é criptografada e é transmitida no início do processo de handshake SSL/TLS, eliminando o alto custo de descriptografia. Além disso, o uso de assinaturas SSL/TLS juntamente com o mecanismo de monitoramento da integridade do servidor permite proteção e mitigação de DoS sem a terminação de SSL/TLS.

Resumo

Está se tornando mais comum que ataques DoS tenham como alvo aplicativos em vez da rede. Como muitos desses ataques DoS da Camada 7 parecem tráfego legítimo, as defesas WAF tradicionais não conseguem detectá-los com eficácia.

Além disso, os invasores continuam a aproveitar novas tecnologias, como aprendizado de máquina e IA, para lançar ataques DoS de Camada 7, tornando regras simples e assinaturas estáticas menos eficazes. A mitigação de DoS da camada 7 também deve evoluir, e o NGINX App Protect DoS traz a tecnologia certa para lidar com defesas adaptáveis e dinâmicas.

Se você quiser saber mais sobre como garantir proteção contra DoS, confira nosso resumo de solução . Veja também estes blogs relacionados:

Experimente o NGINX App Protect DoS você mesmo – comece um teste gratuito de 30 dias hoje mesmo ou entre em contato conosco para discutir seus casos de uso .

Leia mais postagens de blog sobre F5 NGINX›

"Esta postagem do blog pode fazer referência a produtos que não estão mais disponíveis e/ou não têm mais suporte. Para obter as informações mais atualizadas sobre os produtos e soluções F5 NGINX disponíveis, explore nossa família de produtos NGINX . O NGINX agora faz parte do F5. Todos os links anteriores do NGINX.com redirecionarão para conteúdo semelhante do NGINX no F5.com."