@codercat

Как называется атака, когда шлют много параллельных запросов (не DDOS)?

Как называется атака, когда шлют много-много параллельных запросов и, например, какая-то услуга активируется множество раз, потому что N запросов вместе проскочили проверку "Активна ли услуга?", и дошли до этапа "Активация".

Это не ddos, а именно удары по конкретному разделу сайта с целью получить что-то несколько раз.

Вот для полноты картины нашёл на хабре пример:

Допустим, мы являемся онлайн сервисом, который в свою очередь пользуется каким-то внешним платным API (активация услуги, платный контент, или что вашей душе угодно), то есть наш сервис сам платит деньги за пользование API. Пользователь в нашей системе создает запрос на активацию услуги, заполняет все поля и на последней странице жмет кнопку «Активировать услугу». То есть на момент отправки HTTP запроса мы имеем в нашей БД запись (запрос на активацию услуги). Каков наш алгоритм?- спрашиваю я и сам продолжаю:

— достаем из базы баланс пользователя;
— если баланса достаточно, то дергаем API;
— если всё хорошо, то списываем с баланса сумму за услугу, делаем UPDATE, коммитим, иначе откатываемся;
— отвечаем пользователю.

Вроде бы всё тривиально, но когда привожу первую и самую очевидную проблему в виде 10 конкурентных запросов (что все они в начале получат одинаковый баланс и начнут звонить в API), решения начинают предлагать самые изощренные, начиная от выполнения 5 селектов (стоит признаться, я ничего не понял в этом варианте), использования автоинкрементных счетчиков, внешних кешей, новых таблиц в бд, слипов и еще не пойми чего.
  • Вопрос задан
  • 175 просмотров
Решения вопроса 1
@azShoo
Это выглядит как эксплуатация Race Conditions в коде.
Название конкретной атаки я вам не скажу, и не уверен, существует ли оно в принципе.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
Почему не DOS то? Это просто одна из вариаций: зафлудить сервис ненужными запросами до состояния отказа в обслуживании валидных запросов.
(D)DOS не заключается только в забивании канала. Пул обслуживаемых запросов - тоже цель этой атаки.
Ответ написан
@PapaStifflera
Родился, вырос...
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы