Обычная атак типа TCP DDoS переполняет сервер путем отсылки на приемный порт большого количества пакетов с запросами. Преимущество такой атаки для злоумышленников в том, что источник таких пакетов может быть подменен, усложняя таким образом возможность отслеживания и блокировки. При этом TCP DDoS, также как и тысячи других клиентов, кричит "посмотри на меня", перегружая сервер, который старается ответить на эти фантомные запросы.

Тогда как атака TCP DDoS заключается в тысячах "выстрелов", DDoS на уровне приложений похожа на нечто вроде множества никогда не заканчивающихся, дискомфортных  нудных разговоров. Для протоколов, таких как HTTP, которые обычно ведут быстрый обмен сообщениями (загрузка изображения, файла или веб-страницы), DDoS на уровне приложений особенно эффективна. Атакующий хост начинает множество (сотни) "разговоров" с сервером, но "говорит" очень мало. Каждый "разговор", который остается открытым, занимает память сервера и постепенно заполняет ее всю, достигая лимита одновременно открытых соединений. Когда обычные клиенты пытаются подключиться к сервису, они получают сообщение об ошибке, в котором сказано, что сервис в настоящее время недоступен (именно из-за количества соединений). 

Когда мы попробуем сравнить влияние каждого типа DDoS-атак, то получаем график (приведен ниже), показывающий как сервер может быть существенно перегружен каждой из атак.

Если рассматривать атаки с точки зрения обнаружения, то TCP DDoS генерирует большое количество пакетов в секунду (pps) и бит в секунду (bps), что легко можно увидеть в графике утилизации, а вот DDoS на уровне приложений практически невиден на этом графике.

Если использовать Lancope StealthWatch, то такую атаку обнаружить просто. Используются новое сигнальное оповещение и событие функции системы Concern Index™ (CI) под названием "Slow connection Flood", которые отслеживают большое количество соединений этого типа, характеризующихся  незначительным объемом обмена данными. Ниже показан потоковый объект, соответствующий атаке Slowloris HTTP DDoS.

Итоговое исследование этих потоков позволяет StealthWatch включить сигнал "Slow  connection Flood" для такой атаки, проходящей на уровне приложения.

Путем отслеживания многих характеристик каждого потока, приходящего в сеть, а также коллективного поведения каждого хоста внутри и вовне сети, StealthWatch способен обнаруживать как обычные, так и продвинутые угрозы. Новая версия StealthWatch 6.4 расширяет возможности обнаружения DDoS путем проверки данных, которые могут точно указать на атаку на уровне приложения. Более подробно можно узнать здесь.