Как называется атака, когда шлют много параллельных запросов (не DDOS)?
Как называется атака, когда шлют много-много параллельных запросов и, например, какая-то услуга активируется множество раз, потому что N запросов вместе проскочили проверку "Активна ли услуга?", и дошли до этапа "Активация".
Это не ddos, а именно удары по конкретному разделу сайта с целью получить что-то несколько раз.
Вот для полноты картины нашёл на хабре пример:
Допустим, мы являемся онлайн сервисом, который в свою очередь пользуется каким-то внешним платным API (активация услуги, платный контент, или что вашей душе угодно), то есть наш сервис сам платит деньги за пользование API. Пользователь в нашей системе создает запрос на активацию услуги, заполняет все поля и на последней странице жмет кнопку «Активировать услугу». То есть на момент отправки HTTP запроса мы имеем в нашей БД запись (запрос на активацию услуги). Каков наш алгоритм?- спрашиваю я и сам продолжаю:
— достаем из базы баланс пользователя;
— если баланса достаточно, то дергаем API;
— если всё хорошо, то списываем с баланса сумму за услугу, делаем UPDATE, коммитим, иначе откатываемся;
— отвечаем пользователю.
Вроде бы всё тривиально, но когда привожу первую и самую очевидную проблему в виде 10 конкурентных запросов (что все они в начале получат одинаковый баланс и начнут звонить в API), решения начинают предлагать самые изощренные, начиная от выполнения 5 селектов (стоит признаться, я ничего не понял в этом варианте), использования автоинкрементных счетчиков, внешних кешей, новых таблиц в бд, слипов и еще не пойми чего.
Почему не DOS то? Это просто одна из вариаций: зафлудить сервис ненужными запросами до состояния отказа в обслуживании валидных запросов.
(D)DOS не заключается только в забивании канала. Пул обслуживаемых запросов - тоже цель этой атаки.
А это какая-то отдельная категория, есть название? Просто интересны кейсы-решения, а как искать не знаю. Обычная ddos'защита от таких атак не избавляет.
Простой
