یکی از اصلی ترین و ویرانگرترین نوع از حملات DDoS، حملات HTTP FLOOD می باشد که برای حمله کنندگان بسیار راحت و قابل دسترس است، برای هکر ها ایجاد Botnet ها وسیع در این نوع از حملات، خیلی راحت و مقابله کردن با آن بسیار سخت می باشد، حملات HTTP FLOOD در رده بخش کاربردی مدل OSI است.
FLOOD HTTP نوعی از حمله انکار سرویس توزیع شده (DDoS) است که در آن مهاجم از درخواست های HTTP GET یا POST به ظاهر قانونی استفاده می کند تا به یک سرور یا برنامه وب حمله کند.
حمله HTTP GET: در این شکل از حمله، چندین رایانه یا دستگاه های دیگر برای ارسال درخواست های متعدد برای تصاویر، فایل ها یا برخی از دارایی های دیگر از یک سرور هدفمند هماهنگ می شوند، هنگامی که هدف با درخواست ها و پاسخ های دریافتی مشغول می شود، انکار سرویس برای درخواست های اضافی از منابع قانونی ترافیک رخ می دهد.
حمله HTTP POST: به طور معمول وقتی فرم در وب سایت ارائه می شود، سرور باید درخواست ورودی را کنترل کند و داده ها را به لایه ثابتی، که اغلب اوقات یک پایگاه داده است، سوق می دهد، روند رسیدگی به داده های فرم و اجرای دستورات پایگاه داده لازم در مقایسه با میزان قدرت پردازش و پهنای باند مورد نیاز برای ارسال درخواست POST نسبتاً فشرده است، این حمله با ارسال بسیاری از درخواست های ارسال به طور مستقیم به سرور هدفمند تا زمانی که ظرفیت آن اشباع شود و انکار سرویس ارائه شود، از نابرابری در مصرف نسبی استفاده می کند.
?
حملات HTTP FLOODحملات حجمی است، اغلب با استفاده از “ارتش زامبی” Botnet که گروهی از رایانه های متصل به اینترنت، که هر یک بطور مخرب به دست آمده است، معمولاً با کمک بدافزارهایی مانند HORSE Trojan، یک حمله پیشرفته لایه ۷، FLOOD های HTTP از بسته های نادرست، فن آوری های جعلی و انعکاس استفاده نمی کنند و به پهنای باند کمتری نسبت به سایر حملات برای پایین آوردن سایت یا سرور هدفمند نیاز دارند.
به این ترتیب، آنها خواستار درک عمیق تری در مورد سایت یا برنامه مورد نظر هستند و هر حمله باید بصورت ویژه انجام شود تا مؤثر باشد، این مدل حملات HTTP FLOODرا به طور قابل توجهی تشخیص و مسدود می کند، هنگامی که یک مشتری HTTP مانند یک مرورگر وب به یک برنامه یا سرور “صحبت می کند”، درخواست HTTP را ارسال می کند که به طور کلی یکی از دو نوع درخواست: GET یا POST می باشد، درخواست GET برای بازیابی محتوای استاندارد و استاتیک مانند تصاویر، در حالی که از درخواست های POST برای دسترسی به منابع تولید شده پویا استفاده می شود.
زمانی که سرور یا برنامه را مجبور کند حداکثر منابع ممکن را در پاسخ به تک تک درخواست ها اختصاص دهد، بنابراین، حمله کننده به طور کلی قصد دارد سرور یا برنامه را با درخواست های متعدد که هر کدام به اندازه ممکن پردازش دارند، سرنگون کند.
به همین دلیل حملات HTTP FLOODبا استفاده از درخواست POST از منظر حمله کننده از نظر منابع بیشترین تأثیر را دارند. زیرا درخواست های POST ممکن است پارامترهایی را شامل شود که باعث پردازش پیچیده سمت سرور می شوندT از طرف دیگر، حملات مبتنی بر HTTP GET برای ایجاد ساده تر هستند و در سناریوی Botnet می توانند مقیاس به مراتب بهتری داشته باشند.
?
حفاظت از Imperva به یک موتور طبقه بندی منحصر به فرد مشتری متکی است
تمایز حملات HTTP به دلیل استفاده از درخواست های URL استاندارد، بسیار دشوار است، این امر آنها را به یکی از پیشرفته ترین چالش های امنیتی در برابر آسیب پذیری های پیش روی سرورها و برنامه های کاربردی امروزی تبدیل می کند، تشخیص مبتنی بر نرخ سنتی در تشخیص حملات HTTP FLOODبی اثر است، زیرا حجم ترافیک در FLOOD HTTP ها اغلب در آستانه های شناسایی قرار دارد.
مؤثرترین مکانیسم کاهش سرعت به ترکیبی از روش های پروفایل ترافیک، از جمله شناسایی شهرت IP، پیگیری فعالیت های غیر طبیعی و به کارگیری چالش های امنیتی (به عنوان مثال ، درخواست تجزیه JavaScript) متکی است.
راه حل حفاظت از برنامه وب Imperva به یک موتور طبقه بندی منحصر به فرد مشتری متکی است که کلیه ترافیک سایت های ورودی را آنالیز و طبقه بندی می کند، این راه حل ضد DDoS به طور خاص برای شناسایی شفاف ترافیک بات های مخرب طراحی شده است (متوقف کردن تمام HTTP FLOOD ها و سایر حملات DDoS لایه برنامه OSI Layer 7) ، علاوه بر این، راه حل های Imperva با استفاده از تکنیک های منحصر به فرد از شلوغی و تکنیک های مبتنی بر شهرت، کنترل دانه ای را بر روی دسترسی به وب سایت یا برنامه خاص ایجاد می کند.