https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

Nexusguard:DDoS網路威脅擊新主流 – API攻擊

2012 / 11 / 01
本篇文章內容由廠商提供,不代表資安人科技網觀點
Nexusguard:DDoS網路威脅擊新主流 – API攻擊

API(Application Programming Interface)如同字面上的解釋,API可謂是系統與應用程式之間的溝通工具,例如網路平台業者提供API給第三方夥伴,以作為資料的交換等目的,像是Google MAP、奇摩股市或Amazon的公有雲端儲存服務等,幾乎在網路上開店做生意的電子商務店家都會用到API。

根據報導,今年6月,Amazon的雲端伺服器服務(AWS)就出現問題,持續性的API錯誤造成該平台的客戶服務被阻斷。而2010年底,PayPal也曾經因為API問題出現服務中斷問題,“Sorry – your last action could not be completed.” 當時,PayPal曾在自家Blog上面這樣說。

根據網路攻擊防禦領導廠商Nexusguard的資深研究員謝輝輝觀察,這些不尋常到導致整個服務停擺的API錯誤訊息,很有可能是遭受到攻擊的跡象。近年來透過Web API造成服務中斷的阻斷攻擊的確有越來越增長的趨勢,尤其是公有雲服務的供應商,更可能是主要目標。他認為以DDoS攻擊趨勢來看,從2009年到2011年,以Http攻擊為主,而2009年到2013年則會是API攻擊成為主流。

舉例來說,一般的網路服務許多都提供搜尋功能,例如留言板,如果搜尋或執行頻率太高,則會造成系統的停擺,這種包含使用者行為的攻擊運用,可以說是在網路第七層之上,因此更加棘手。

謝輝輝指出,這類攻擊還很新,而且正在逐漸成為主流,將會尤其影響到電子商務網站的運作,他建議可有三點作為: 
- 1. API驗證,透過對整個應用程式的行為模式進行驗證,確保不是「假動作」。 
- 2. 進行次數限制,例如限制同一IP播放網路視訊的次數,或是24小時內來自同一IP的造訪次數。 
- 3. 具備加解密技術,無論是透過硬體裝置或是技術,都必須要有加解密的含量,因為這類攻擊大部分都是透過https加密協定進行。

目前Nexusguard的雲端Web應用防護系統(ClearWeb)可提供相關的解決方案,詳情請上http://www.nexusguard.com