Guida DoS Cosa Sono, Come Prevenire e Difendersi dagli Attacchi DDoS

haxo

Helper
8 Maggio 2020
291
17
152
136
Un attacco DDOS (distributed denial of service), ha lo scopo di "mandare off", quindi inondare con un numero di richieste (gestite da un protocollo) un server presente in rete. Vedremo cosa sono, come prevenire e come difendersi da questi tipi di attacchi chiamati DDOS

pexels-photo-5380603.jpeg





Gli attacchi DDoS (distributed denial of service) sono una delle più grandi minacce per le aziende online.
Negli ultimi anni, abbiamo assistito a un forte aumento della loro frequenza e raffinatezza.
Questo aumento è alimentato dai progressi tecnologici e dalla digitalizzazione delle aziende di tutti i settori.
Il mancato rilevamento e prevenzione di un attacco DDoS può avere gravi conseguenze per qualsiasi azienda.

Molte aziende commettono l'errore di sottovalutare gli attacchi e di non implementare misure di rilevamento e mitigazione adeguate.
Oggi daremo uno sguardo approfondito su come funzionano gli attacchi DDoS e cosa puoi fare per prevenirli.

1    Cos'é un attacco DDoS?

Un attacco DDoS (distributed denial of service) é un tipo di attacco dove si punta e esaurire tutte le risorse di un server (strumento di erogazione di servizi)
mandando piú richieste possibili (FLOOD, gestite da un protocollo, HTTP FLOOD, UDP FLOOD, TCP FLOOD...) per mandare in tilt quest'ultimo e renderlo inaccessibile.
Al contrario di un attacco DoS (denial of service), le richieste provengono da diversi luoghi cosi aumentando la probabilitá di successo.

iu



2    Varianti dell'attacco DDoS

Sebbene tutti gli attacchi DDoS condividano un concetto simile, vengono utilizzati tre metodi principali che prendono di mira punti diversi in una rete.

Attacchi volumetrici : il tipo più comune di attacco, questi attacchi DDoS si concentrano sul targeting del livello di rete di un sistema. Un ottimo esempio di attacco volumetrico è un attacco di amplificazione DNS che utilizza i protocolli di risposta DNS per inondare la rete della vittima con risposte false.

Attacchi al protocollo: un attacco di protocollo sfrutta i protocolli del server noti per "arrestare" un sistema. Un primo esempio di questo metodo è un attacco SYN flood o connessione TCP che implica la manipolazione della sequenza del protocollo SYN-ACK che server e host utilizzano per comunicare. In genere, quando un utente stabilisce una connessione a un server, viene inviata una richiesta SYN (sincronizzazione) e il server risponde con una risposta SYN-ACK (riconoscimento). L'utente restituisce quindi una risposta ACK e viene stabilita una connessione riuscita.

Attacchi a livello di applicazione : un metodo di attacco DDoS come un HTTP Flood, che comporta l'invio di enormi quantità di richieste HTTP direttamente a un server di applicazioni Web. Mentre il server tenta di elaborare milioni di richieste contemporaneamente, viene rapidamente saturato e si blocca, rendendolo incapace di gestire le richieste autentiche dell'utente. Questi tipi di attacco sono più difficili da rilevare e possono essere prevenuti solo da un WAF (web application firewall), un firewall che opera specificamente a livello di applicazione per bloccare il traffico illecito.
Da notare che questo attacco prevede la saturazione dell'ultimo livello 7 del modello ISO OSI, quello che prevede il contatto diretto con le applicazioni.

3    Qual é L'Obiettivo di un Attacco DDoS?

Alcuni "hacker" eseguono campagne di riscatto chiedendo un pagamento per fermare gli attacchi, questo attacco é iniziato intorno al 2014 prendendo di mira siti riguardante lo scambio di bitcoin, ma si è evoluto e viene utilizzato per esaurire la banda di siti Web di tutte le dimensioni.

Alcuni attacchi possono verificarsi sotto forma di hacktivismo, in cui gli hacker vogliono trasmettere un messaggio, pensiamo al movimento di Anonymous
Gli hacker a volte effettuano attacchi per mostrarsi all'interno della loro organizzazione o comunitá
Spesso, gli attacchi possono essere anche indirizzati a progetti su cui i soggetti in questione (attaccanti) non sono affatto d'accordo.

4    Come Indentificare e Prevenire un Attacco DDoS

Un sito sorprendentemente lento o inaccessibile, é il sintomo più evidente di un attacco DDoS.
Tuttavia, poiché l'aumento effettivo del traffico puó causare problemi di accessibilitá, è necessaria un'ulteriore analisi píu specifica.

4.1    Chiama il tuo Provider di Hosting

Il primo passo è chiamare il tuo provider di hosting a chiedere un loro aiuto.
Se un attacco DDoS è abbastanza grande, è probabile il tuo hosting lo rilevi e faccia una pratica chiamata "null route" ovvero l'eliminazione dei pacchetti "cattivi".

Tim Pat Dufficy, amministratore delegato di ISP e società di hosting ServerSpace, è d'accordo. "La prima cosa che facciamo quando vediamo un cliente sotto attacco è accedere ai nostri router e fermare il traffico che arriva sulla nostra rete", afferma. "Ci vogliono circa due minuti per propagarsi a livello globale utilizzando BGP (protocollo gateway di confine) e quindi il traffico diminuisce".

4.2    Utilizzare un Server Terzo

Utilizzare un server terzo che si assuma la maggior parte del carico (ad esempio CloudFlare) e riesca a gestirli, é la scelta migliore per evitare disastri.
Con questo tipo di server potrai avere:
  1. Un'infrastruttura abbastanza sicura (con le dovute accortenze).
  2. Protezione dei dati.
  3. Innovazione (questi server hanno un continuo aggiornamento che puó garantirti una buona sicurezza).
  4. Riduzione dei tempi di caricamento (tramite il concetto di CDN = una rete sparsa per tutto il mondo, che una volta aggiunto salva una copia della tua pagina, e quando un utente fa una richiesta al sito, la CDN piú vicina a lui pone la pagina).
  5. Certificati SSL (secure socket layer, un protocollo di sicurezza).

4.3    Utilizzare un WAF

Utilizzare un WAF (web firewall application) non dovrebbe essere un opzione, ma un obbligo.
Il WAF e un tipo di strumento di difesa che controlla i pacchetti in entrata e in uscita e blocca quelli sospetti, date da alcune regole precise.
Di WAF come il FIREWALL (concetti simili ma non uguali) ne esistono in due tipi:
  1. Hardware
  2. Software
A sua volta i WAF si dividono in:
  1. Blocklist Web Application Firewall: un WAF blocklist, o modello di sicurezza negativo, protegge dagli attacchi noti negando l'accesso al traffico.
  2. Allowlist Web Application Firewall: una lista consentita WAF, o modello di sicurezza positivo, ammette solo il traffico che si trova in un elenco pre-approvato dato da alcune regole (tipo whitelist).
  3. Hybrid Web Application Firewall: un WAF ibrido applica elementi sia dei modelli di lista bloccata che di lista consentita.

5    Conclusioni

Questi erano alcuni dei punti BASE da seguire per riuscire a identificare un attacco di tipo DDOS, in questo modo ridurremo la possibilitá che il nostro server sia scelto come bersaglio da malintenzionati, naturalmente ci sono tantissimi altri strumenti e accorgimenti da dover seguire, ma questi erano solo una piccola parte per non farti trovare impreparato!