Puede parecer que los ataques lentos y de baja potencia (los llamados ataques "lentos y lentos") son cosa del pasado, pero la práctica demuestra que los ciberdelincuentes todavía los utilizan de forma activa. En 2020, el 65% de las organizaciones se vieron afectadas por este tipo de ataques, y el 30% los experimentó mensualmente. Por tanto, démosles la atención que se merecen y te contamos cómo se implementan.
Si un atacante quiere paralizar una aplicación, la forma más sencilla es transferir el exceso de tráfico para cerrar el servidor de la aplicación (ataque distribuido de denegación de servicio o DDoS). Sin embargo, hoy en día existen muchas tecnologías que pueden detectar y bloquear dichos ataques basándose en direcciones IP o firmas, administración de cuotas y soluciones especializadas para prevenir ataques DDoS.
A principios de 2021. el mundo se enfrenta al regreso de una técnica de ataque antigua pero muy eficaz: los ataques lentos y de baja potencia. A finales de febrero, el número de ataques de este tipo dirigidos a los clientes de Radware creció un 20% en comparación con el cuarto trimestre de 2020.
¿Qué son los ataques lentos y bajos?
En lugar de crear un exceso repentino de tráfico, los ataques lentos y de bajo consumo se llevan a cabo con una actividad mínima y los sistemas no los registran. Su objetivo es incapacitar un objeto de forma discreta creando un número mínimo de conexiones y dejándolas sin terminar el mayor tiempo posible.
Por lo general, los atacantes envían solicitudes HTTP parciales y pequeños paquetes de datos o mensajes Keep-Alive para mantener viva la conexión. Dichos ataques no solo son difíciles de bloquear, sino también difíciles de detectar.
Existen varias herramientas conocidas que permiten a los atacantes llevar a cabo este tipo de ataques, como SlowLoris, SlowPost, SlowHTTPTest, Tor's Hammer, RUDead.Yet y LOIC.
, , API, , . , , , . , .
— Radware DDoS-. TCP , , .
Esta monitorización se realiza sin acceder a la aplicación y no supone ningún riesgo para la misma, ya que la protección se realiza a nivel de sesión. Los intentos de ataque posteriores se bloquean en el perímetro de la red mediante mecanismos de señalización únicos y flujos de trabajo automatizados sin comprometer el rendimiento de la aplicación.