Il peut sembler que les attaques lentes et de faible puissance (les attaques dites « Low and Slow ») appartiennent au passé, mais la pratique montre qu'elles sont toujours activement utilisées par les cybercriminels. En 2020, 65 % des organisations étaient touchées par de telles attaques, dont 30 % les subissent chaque mois. Par conséquent, accordons-leur l'attention qu'ils méritent et expliquons comment ils sont mis en œuvre.
Si un attaquant veut paralyser une application, le moyen le plus simple est de transférer le trafic excédentaire pour arrêter le serveur d'applications (attaque par déni de service distribué, ou DDoS). Cependant, il existe aujourd'hui de nombreuses technologies capables de détecter et de bloquer de telles attaques sur la base d'adresses IP ou de signatures, de la gestion des quotas et de solutions spécialisées pour empêcher les attaques DDoS.
Début 2021. le monde est confronté au retour d'une technique d'attaque ancienne mais très efficace - des attaques lentes et de faible puissance. Fin février, le nombre d'attaques de ce type ciblant les clients Radware a augmenté de 20 % par rapport au quatrième trimestre 2020.
Que sont les attaques basses et lentes ?
Au lieu de créer un excédent soudain de trafic, des attaques lentes et de faible puissance sont effectuées avec une activité minimale et ne sont pas enregistrées par les systèmes. Ils visent à neutraliser un objet en toute discrétion en créant un minimum de connexions et en les laissant inachevés le plus longtemps possible.
En règle générale, les attaquants envoient des requêtes HTTP partielles et de petits paquets de données ou des messages keep-alive pour maintenir la connexion active. De telles attaques sont non seulement difficiles à bloquer, mais également difficiles à détecter.
Il existe plusieurs outils bien connus qui permettent aux attaquants de mener de telles attaques, notamment SlowLoris, SlowPost, SlowHTTPTest, Tor's Hammer, RUDead.Yet et LOIC.
, , API, , . , , , . , .
— Radware DDoS-. TCP , , .
Cette surveillance se fait sans accéder à l'application et ne présente aucun risque pour celle-ci, puisque la protection s'effectue au niveau de la session. Les tentatives d'attaques ultérieures sont bloquées au périmètre du réseau à l'aide de mécanismes de signalisation uniques et de workflows automatisés sans compromettre les performances des applications.