En form for DDoS-angreb rettet mod dyre API-kald i microservice-arkitekturer bekymrer Netflix. Streaming-tjenesten kalder truslen 'application DDoS.' Det fortæller The Register på baggrund af et teknisk blogindlæg begået af Scott Behrens og Bryan Paynehos fra Netflix om emnet.
Hvor traditionelle DDoS-angreb typisk går ud på at fylde en netværkstjeneste med så meget skrammel-trafik, at legitime brugere ikke længere kan serviceres, så sigter 'application DDoS' mod dyre API-kald.
»En enkelt forespørgsel ved kanten kan forgrene sig ud i tusindvis af forespørgsler i middle-tier- og backend-microservices,« står der blandt andet i indlægget fra Behrens og Payne, som fortsætter:
»Hvis en angriber kan identificere API-kald, som har denne effekt, så kan det være muligt at bruge denne forgrenelsesarkitektur (eng. fan out architecture) mod den overordnede service. Hvis de resulterende beregninger er dyre nok, så kan visse middle-tier-tjenester stoppe med at fungere.«
Og afhængigt af, hvor kritisk disse tjenester er, så kan sådan et angreb tage hele tjenesten ned, fremgår det videre af indlægget.
En del af problemet i forhold til 'application DDoS' opstår ifølge Behrens og Payne til dels som følge af, at applikations-firewalls ikke har øje for de mulige konsekvenser, masse-API-kald kan have.
Og derfor kan trafik, der er lavet, så den ser legitim ud, men som er målrettet de dyreste API'er målt på bagvedliggende regnekraft, få alvorlige konsekvenser, påpeger de.
For at komme problematikken til livs har Netflix lavet et værktøj, virksomheden kalder Repulsive Grizzly. Det kan bruges til at teste applikationers sårbarhed overfor denne form for angreb.