Mitigación HTTP (Capa 7)
En nuestra experiencia podemos decir que más del 90% de los ataques que reciben nuestros clientes, se trata de ataques volumétricos en capa 3 y capa 4, es decir, ataques que intentan saturar la interfaz de red de la victima, estos ataques son detectados por nuestro colector de flows y mitigados practicamente al instante.
Sin embargo, existe otro tipo de ataque cuyo objetivo es saturar los recursos de un servidor web, generalmente por saturación de peticiones Apache o directamente con floods que si bien no saturan la interfaz de red si que saturan la CPU y memoria RAM de la vÃctima.
Estos ataques, al ir dirigidos a la capa de aplicación es muy dificil que sean detectados por nuestro colector de flows,
recordamos que para efectuar un ataque en L7 es necesario un equipo con mucha potencia de CPU capaz de generar una ingente cantidad de peticiones hacia vÃctima pero basta con solo 10Mbps de capacidad de red,
por este motivo un analisis de flows dará negativo en la detección de estos ataques y por tanto es necesaria una intervención manual para ejecutar el prcoeso de mitigación.
Dada esta necesidad de intervención manual, hemos activado dentro de la interfaz de SMAMA la opción de activar la protección L7 para una IP concreta.
Monday, September 11, 2017
