DDoS - Επιθέσεις τύπου HTTP Flood

Οι επιθέσεις τύπου HTTP Flood αποτελούν ένα νέο είδος επιθέσεων άρνησης εξυπηρέτησης που παρουσιάζουν σημαντικές ποιοτικές διαφορές από τις SYN Flood επιθέσεις. Οι HTTP Flood επιθέσεις αφορούν την υπηρεσία του παγκόσμιου ιστού (World Wide Web) και έχουν δύο στόχους:
  • Να δεσμεύσουν τους διαθέσιμους χρήστες που μπορεί να εξυπηρετήσει ο διακομιστής χωρίς να μπορεί έτσι ένας κανονικός χρήστης να χρησιμοποιήσει την υπηρεσία του παγκόσμιου ιστού.
  • Να μειώσουν συστηματικά τον πραγματικό αριθμό των χρηστών που μπορούν να εξυπηρετηθούν καθώς και την ταχύτητα πρόσβασης στις ιστοσελίδες μειώνοντας έτσι την ποιότητα των υπηρεσιών που παρέχονται.
Ο πρώτος στόχος γίνεται εύκολα αντιληπτός αφού ο διακομιστής θα παράγει κάποια προειδοποίηση ή κάποιο σφάλμα. Ο δεύτερος στόχος όμως δεν είναι απαραίτητο πως θα παράγει κάποια προειδοποίηση και έτσι η επίθεση μπορεί να πραγματοποιείται για μεγάλα χρονικά διαστήματα χωρίς να γίνεται αντιληπτή.

Στην απλή μορφή τους και σε χαμηλό επίπεδο οι HTTP Flood επιθέσεις δεν έχουν καμία διαφορά από τις SYN Flood επιθέσεις. Οι HTTP Flood επιθέσεις μπορούν να χωριστούν σε τρεις κατηγορίες:
  • Επιθέσεις που ζητούν συνέχεια την ίδια σελίδα (Τύπου-1).
  • Επιθέσεις που ζητούν συνέχεια τυχαίες σελίδες (Τύπου-2).
  • Επιθέσεις που μιμούνται την πλοήγηση κανονικών χρηστών (Τύπου-3).

Στην πρώτη κατηγορία, ο επιτιθέμενος ζητάει από το διακομιστή συνέχεια την ίδια σελίδα. Η αναγνώριση αυτού του τύπου της επίθεσης είναι ιδιαίτερα εύκολη. Μπορούν να χρησιμοποιηθούν απλοί κανόνες που εφαρμόζονται σε στατιστικές μετρήσεις. Για αυτή την περίπτωση υπάρχει το εργαλείο mod_evasive (Jonathan Zdziarki) το οποίο είναι διαθέσιμο σαν module για τον Apache Web Server και το οποίο είναι σχετικά αξιόπιστο

. HTTP Flood επίθεση Τύπου-1: ο επιτιθέμενος ζητάει συνέχεια την ίδια ιστοσελίδα.
 
Στη δεύτερη κατηγορία, ο επιτιθέμενος αρχικά αναλύει το δικτυακό τόπο και εξάγει τους υπέρ-συνδέσμους αυτού. Στη συνέχεια, ζητάει τους υπέρ-συνδέσμους αυτούς με τυχαίο τρόπο. Η αναγνώριση της επίθεσης αυτής είναι σχετικά εύκολη αφού μπορεί να πραγματοποιηθεί μετρώντας τη διασπορά των ιστοσελίδων για κάθε πλοήγηση δηλαδή την ακολουθία σελίδων για κάθε χρήστη (clickstream).

Flood  επίθεση Τύπου-2: ο επιτιθέμενος ζητάει συνέχεια τυχαίες ιστοσελίδες του δικτυακού τόπου.
 
Στην τρίτη κατηγορία, ο χρήστης αναλύει το δικτυακό τόπο, εξάγει τους υπερσυνδέσμους αυτού, και τη σύνδεση των ιστοσελίδων μεταξύ τους, δηλαδή δημιουργεί το γράφο που αναπαριστά το δικτυακό τόπο (εικόνα 2.8). Βασισμένος σε αυτή την πληροφορία, ο επιτιθέμενος δημιουργεί τυχαία πρότυπα πλοήγησης και ανακτά τις σελίδες από τον διακομιστή με βάση αυτά τα πρότυπα. Από τη μεριά του διακομιστή αυτό φαίνεται σαν μια κανονική πλοήγηση από ένα χρήστη. Ιδιαίτερα στην περίπτωση μιας κατανεμημένης επίθεσης με τυχαία πρότυπα πλοήγησης, η αναγνώριση της είναι ιδιαίτερα δύσκολη.
HTTP Flood  επίθεση Τύπου-3: ο επιτιθέμενος σαρώνει τον ιστοχώρο και δημιουργεί πρότυπα πλοήγησης.

Δεν υπάρχουν σχόλια: