Application Layer Attack là gì?
Application Layer Attack – các cuộc tấn công lớp ứng dụng hay tấn công DDoS lớp 7 (L7) đề cập đến một loại hành vi độc hại được thiết kế để nhắm mục tiêu đến lớp “trên cùng” trong mô hình OSI, nơi xảy ra các yêu cầu Internet phổ biến như HTTP GET và HTTP POST. Các cuộc tấn công lớp 7 này, trái ngược với những cuộc tấn công lớp mạng như DNS Amplification, đặc biệt hiệu quả do chúng tiêu thụ tài nguyên máy chủ, ngoài tài nguyên mạng.
Application Layer Attack hoạt động như thế nào?
Hiệu quả cơ bản của hầu hết các cuộc tấn công DDoS đến từ sự chênh lệch giữa lượng tài nguyên cần thiết để thực hiện một cuộc tấn công so với lượng tài nguyên cần để xử lý hoặc giảm thiểu cuộc tấn công đó. Trong khi điều này vẫn xảy ra với các cuộc tấn công L7, thì hiệu quả của việc ảnh hưởng đến cả máy chủ được nhắm mục tiêu và mạng đòi hỏi tổng băng thông ít hơn để đạt được hiệu ứng gián đoạn tương tự. Một cuộc tấn công lớp ứng dụng tạo ra nhiều thiệt hại hơn với tổng băng thông ít hơn.
Để khám phá lý do tại sao lại như vậy, hãy xem xét sự khác biệt về mức tiêu thụ tài nguyên tương đối giữa một client đưa ra yêu cầu và server phản hồi yêu cầu. Khi người dùng gửi yêu cầu đăng nhập vào tài khoản trực tuyến chẳng hạn như tài khoản Gmail, lượng dữ liệu và tài nguyên mà máy tính của người dùng phải sử dụng là tối thiểu và không tương xứng với lượng tài nguyên được sử dụng trong quá trình kiểm tra thông tin đăng nhập, load dữ liệu người dùng có liên quan từ cơ sở dữ liệu, sau đó gửi lại phản hồi có chứa trang web được yêu cầu.
Ngay cả khi không có thông tin đăng nhập, nhiều lần server nhận được yêu cầu từ client phải thực hiện các truy vấn cơ sở dữ liệu hoặc những lệnh gọi API khác để tạo ra một trang web. Khi sự chênh lệch này được tăng lên do nhiều thiết bị nhắm mục tiêu vào một thuộc tính web, như trong một cuộc tấn công mạng botnet, hiệu ứng có thể áp đảo máy chủ được nhắm mục tiêu, dẫn đến hiện tượng từ chối dịch vụ đối với lưu lượng truy cập hợp pháp. Trong nhiều trường hợp, chỉ cần nhắm mục tiêu một API với một cuộc tấn công L7 là đủ để đưa dịch vụ vào trạng thái ngoại tuyến.
Tại sao rất khó để ngăn chặn các cuộc tấn công DDoS lớp ứng dụng?
Rất khó để phân biệt giữa lưu lượng tấn công và lưu lượng thông thường, đặc biệt là trong trường hợp tấn công lớp ứng dụng, chẳng hạn như botnet thực hiện tấn công HTTP Flood đối với máy chủ của nạn nhân. Bởi vì mỗi bot trong mạng botnet thực hiện các yêu cầu mạng dường như hợp pháp, lưu lượng truy cập không bị giả mạo và có thể xuất hiện với nguồn gốc “bình thường”.
Các cuộc tấn công lớp ứng dụng yêu cầu một chiến lược thích ứng bao gồm khả năng giới hạn lưu lượng truy cập dựa trên những bộ quy tắc cụ thể, có thể thay đổi thường xuyên. Các công cụ như WAF được cấu hình đúng cách có thể giảm thiểu lượng lưu lượng truy cập không có thật được chuyển đến server gốc, giảm đáng kể tác động của nỗ lực tấn công DDoS.
Với các cuộc tấn công khác như SYN Flood hay NTP Amplification, các chiến lược có thể được sử dụng để giảm lưu lượng truy cập khá hiệu quả, miễn là bản thân mạng có băng thông để nhận chúng. Thật không may, hầu hết các mạng không thể chịu được một cuộc tấn công khuếch đại máy chủ 300Gbps và thậm chí còn có ít mạng có thể định tuyến và phục vụ khối lượng yêu cầu lớp ứng dụng mà một cuộc tấn công L7 có thể tạo ra hơn .
