Wat is een applicatielaag aanval?

Applicatielaag aanvallen, ook wel bekend als DDoS-aanvallen, nemen toe. Ze zijn uitgegroeid tot een van de meest geliefde manieren om een ​​aanval uit te voeren, en daarom beschermen organisaties zichzelf tegen het toenemende aantal (en de kracht) van aanvallen op de applicatielaag.

Wat is een applicatielaag aanval?

Een applicatielaag aanval, of 'DDoS-aanval', is gericht op een applicatie en specifieke kwetsbaarheden of problemen, zodat de applicatie niet in staat is om te communiceren en of inhoud te leveren aan de gebruiker(s). Toepassingen die vaak doelwit zijn, zijn webservers, maar kunnen ook SIP-spraakdiensten en BGP zijn.

Applicatielaag aanvallen omvatten aanvallen met een lage en langzame werking, GET / POST-overstromingen, aanvallen gericht op Apache-, Windows- of OpenBSD-kwetsbaarheden en meer. Bestaande uit ogenschijnlijk legitieme en onschuldige verzoeken, is het doel van deze aanvallen om de webserver te laten crashen. De omvang van de aanval wordt gemeten in het aantal verzoeken per seconde (Requests per second, Rps).

DDoS-aanvallen zijn meestal van een laag tot gemiddeld volume, omdat ze moeten voldoen aan het protocol dat de applicatie gebruikt, wat vaak gepaard gaat met protocol handshakes en naleving van het protocol/applicatie. Dit betekent dat deze aanvallen voornamelijk worden uitgevoerd met behulp van discrete intelligente clients, meestal Internet of Things (IoT) -apparaten, en niet kunnen worden vervalst.

Wat zijn de verschillende soorten aanvallen op de applicatielaag?

Als we kijken naar DDoS-trends in de loop van de tijd, zijn aanvallen cyclisch van aard. Aanvallers ontwikkelen nieuwe aanvalstypen en vectoren, die worden gebruikt om een ​​nieuwe aanvalsgolf te lanceren. Naarmate verdedigers bekwamer worden in het stoppen van deze nieuwe aanvallen, ontwikkelen de aanvallers nieuwe soorten aanvallen en herhaalt de cyclus zich.

De verspreiding van onveilige IoT-apparaten in de afgelopen jaren is enorm gunstig geweest voor de DDoS-aanvallers, aangezien er nu een bijna onbeperkt aantal intelligente apparaten is die kunnen worden gebruikt om meer geavanceerde applicatielaag aanvallen uit te voeren.

Veelvoorkomende applicatielaag aanvallen kunnen zijn:

  • BGP-kaping
  • Slowloris
  • Toon bericht
  • Langzaam lezen
  • HTTP (/ s) overstroming
  • Lage en langzame aanval
  • Groot laadvermogen POST
  • Nagebootste gebruikersnavigatie

Wat zijn tekenen van een aanval op een applicatielaag?

Aanvallen op de toepassingslaag kunnen worden gedetecteerd met behulp van beveiliging gerichte flow analyse; aangezien het echter om laag-volume aanvallen gaat, is het noodzakelijk om gedragsanalyse of deep packet-analyse te gebruiken om ze aan het licht te brengen. Wat nodig is, is het gebruik van IDMS' om de specifieke aanvalsvector te detecteren die wordt gebruikt door het gebruik van virtuele of fysieke apparaten in het verkeer.

Waarom zijn aanvallen op applicatielagen gevaarlijk?

Cybercriminelen zijn voortdurend bezig met het ontwikkelen van hun toolset en zijn op zoek naar nieuwe aanvalslagen op de applicatielaag. En omdat ze nu toegang hebben tot miljoenen kwetsbare IoT-apparaten, kunnen ze complexe DDoS-aanvallen uitvoeren op een nooit eerder geziene schaal.

Wat aanvallen op de applicatielaag het gevaarlijkst maakt, is dat zelfs wanneer multi-vector aanvallen identificeerbare patronen bevatten, een vastberaden aanvaller de resultaten van zijn aanval zal volgen en deze zal aanpassen om een ​​bekwame en vastberaden verdediger te dwarsbomen. Omdat bekend is dat actieve aanvallers continu payload-patronen aanpassen om simplistische DDoS-beperking te voorkomen, wordt het bijhouden van een doorlopende lijst met bekende aanvalspatronen al snel onpraktisch vanwege schaalproblemen en de snelheid waarmee deze lijst moet worden bijgewerkt. Verder, aangezien payload-patronen een hoog risico op collaterale schade met zich meebrengen, kan het onverstandig zijn om een ​​langdurige set van payload-patronen te handhaven.

Hoe je aanvallen op applicatielagen kunt beperken en voorkomen

Omdat DDoS-aanvallen complex van aard kunnen zijn en een vastberaden aanvaller de aanvalsvector snel zal veranderen om mitigatie te voorkomen, moet de IDMS een set van methoden gebruiken om dit soort aanvallen te analyseren en te blokkeren.

Best practices voor DDoS-bescherming

Best practices om zich te verdedigen tegen voortdurend evoluerende vormen van denial of service aanvallen zijn onder andere:

  1. Gebruik flow-telemetrie analyse aangevuld met gedragsanalyse om afwijkingen en aanvallen op te sporen. Focus op het begrijpen van wat normaal is. Dit zal de identificatie van afwijkingen vereenvoudigen.
  2. Gebruik een IDMS om abnormaal gedrag en applicatielaag aanvallen te detecteren die geavanceerde en actieve mitigatie vereisen; en gebruik deze aanpak in combinatie met BGP FlowSpec Offload wanneer en waar nodig.

Indien succesvol geïmplementeerd, zullen deze DDoS-beschermingstechnieken de aanvaller dwingen zich te gedragen als normale clients, waardoor de DDoS-aanval ondoelmatig wordt en het gebruik van analyse op applicatieniveau mogelijk wordt gemaakt om abnormaal verkeer of gebruikspatronen te detecteren.

Kom in contact met onze experts

Ons team staat voor je klaar

Wil je meer weten over dit onderwerp? Laat een bericht of je nummer achter en we bellen je terug. We helpen je graag verder.

Artikelen

Meer updates