Gli attacchi DDoS (chiamati Distributed Denial of Service, in traduzione libera: un denial of service distribuito) sono tra gli attacchi hacker più comuni, che sono diretti a sistemi informatici o servizi di rete e sono progettati per occupare tutte le risorse disponibili e libere al fine di impedire il funzionamento dell'intero servizio su Internet (es. il tuo sito web e l'email ospitata).
Cos'è un attacco DDoS?
Un attacco DDoS consiste nell'eseguire un attacco simultaneamente da più luoghi contemporaneamente (da più computer). Tale attacco viene effettuato principalmente da computer sui quali è stato assunto il controllo, utilizzando software speciali (ad esempio bot e trojan). Ciò significa che i proprietari di questi computer potrebbero anche non sapere che il loro computer, laptop o altro dispositivo connesso alla rete potrebbe essere utilizzato, a loro insaputa, per condurre un attacco DDoS.
Un attacco DDoS inizia quando tutti i computer compromessi iniziano ad attaccare contemporaneamente il servizio Web o il sistema della vittima. Il bersaglio di un attacco DDoS viene quindi invaso da falsi tentativi di utilizzare i servizi (ad esempio, possono essere tentativi di chiamare un sito Web o altre richieste).
Perché un attacco DDoS causa interruzioni del servizio?
Ogni tentativo di utilizzare il servizio (ad es. Un tentativo di chiamare un sito Web) richiede che il computer attaccato allochi risorse appropriate per soddisfare questa richiesta (ad es. Processore, memoria, larghezza di banda di rete), che, con un numero molto elevato di tali richieste, porta a l'esaurimento delle risorse disponibili e, di conseguenza, un'interruzione del funzionamento o addirittura la sospensione del sistema attaccato.
Come proteggersi dagli attacchi DDoS?
Gli attacchi DDoS sono attualmente la minaccia più probabile per le aziende che operano nella rete e le loro conseguenze si estendono oltre l'area IT, ma causano anche perdite finanziarie e di immagine reali e misurabili. Gli attacchi di questo tipo sono in continua evoluzione e diventano sempre più precisi. Il loro scopo è utilizzare tutte le risorse disponibili dell'infrastruttura di rete o della connessione Internet.
È possibile trovare offerte per la protezione dagli attacchi DDoS su Internet. Molto spesso, l'attivazione di tale protezione contro gli attacchi DDoS viene eseguita modificando i record DNS, che indirizzeranno tutto il traffico HTTP / HTTPS attraverso il livello di filtraggio, in cui viene eseguita un'ispezione dettagliata di ogni pacchetto e query.
Quindi, algoritmi avanzati, oltre a regole adeguatamente definite, filtrano i pacchetti errati e i tentativi di attacco, in modo che solo il traffico puro arrivi al tuo server. Le aziende che proteggono dagli attacchi DDoS hanno sedi in diverse parti del mondo, grazie alle quali possono bloccare efficacemente gli attacchi alla fonte, oltre a fornire dati statici dal data center più vicino, riducendo così il tempo di caricamento della pagina.
L'attacco DDoS e il ricatto è un crimine
La minaccia di un attacco DDoS viene talvolta utilizzata per ricattare le aziende, ad es. siti d'asta, società di intermediazione e simili, dove l'interruzione del sistema di transazione si traduce in perdite finanziarie dirette per l'azienda e i suoi clienti. In questi casi, le persone dietro l'attacco chiedono un riscatto per annullare o fermare l'attacco. Tale ricatto è un crimine.
Come proteggersi dagli attacchi DoS / DDoS
In termini semplici, gli attacchi DoS sono una forma di attività dannosa che mira a portare un sistema informatico al punto in cui non può servire gli utenti legittimi o eseguire correttamente le funzioni previste. Errori nel software (software) o carico eccessivo sul canale di rete o sul sistema nel suo insieme portano solitamente a una condizione di "negazione del servizio". Di conseguenza, il software, o l'intero sistema operativo della macchina, "va in crash" o si trova in uno stato "loop". E questo minaccia con tempi di inattività, perdita di visitatori / clienti e perdite.
Anatomia di un attacco DoS
Gli attacchi DoS sono classificati come locali e remoti. Gli exploit locali includono vari exploit, fork bomb e programmi che aprono un milione di file ogni volta o eseguono un algoritmo circolare che consuma memoria e risorse del processore. Non ci soffermeremo su tutto questo. Diamo uno sguardo più da vicino agli attacchi DoS remoti. Si dividono in due tipologie:
Sfruttamento remoto di bug del software per renderlo inoperativo.
Flood: invio di un numero enorme di pacchetti privi di significato (meno spesso significativi) all'indirizzo della vittima. Il target flood può essere un canale di comunicazione o risorse della macchina. Nel primo caso, il flusso di pacchetti occupa l'intera larghezza di banda e non offre alla macchina attaccata la capacità di elaborare richieste legittime. Nel secondo, le risorse della macchina vengono catturate da chiamate ripetute e molto frequenti a qualsiasi servizio che esegue un'operazione complessa e ad alto consumo di risorse. Questa può essere, ad esempio, una lunga chiamata a uno dei componenti attivi (script) del server web. Il server spende tutte le risorse della macchina per elaborare le richieste dell'aggressore e gli utenti devono attendere.
Nella versione tradizionale (un aggressore - una vittima), solo il primo tipo di attacchi è ora efficace. Il classico diluvio è inutile. Proprio perché con la larghezza di banda odierna dei server, il livello di potenza di calcolo e l'uso diffuso di varie tecniche anti-DoS nel software (ad esempio, ritardi quando lo stesso client esegue ripetutamente le stesse azioni), l'attaccante si trasforma in una fastidiosa zanzara che è non è stato in grado di infliggerne alcuno né vi sono stati danni.
Ma se ci sono centinaia, migliaia o addirittura centinaia di migliaia di queste zanzare, possono facilmente mettere il server sulle scapole. La folla è una forza terribile non solo nella vita, ma anche nel mondo dei computer. Un attacco DDoS (Distributed Denial-of-Service), solitamente eseguito utilizzando molti host zombificati, può isolare anche il server più difficile dal mondo esterno.
Metodi di controllo
Il pericolo della maggior parte degli attacchi DDoS risiede nella loro assoluta trasparenza e "normalità". Dopotutto, se un errore del software può sempre essere corretto, il consumo completo di risorse è un evento quasi comune. Molti amministratori li affrontano quando le risorse della macchina (larghezza di banda) diventano insufficienti o il sito Web subisce un effetto Slashdot (twitter.com è diventato non disponibile pochi minuti dopo la prima notizia della morte di Michael Jackson). E se tagli il traffico e le risorse per tutti di fila, sarai salvato dagli attacchi DDoS, ma perderai una buona metà dei tuoi clienti.
Non c'è praticamente via d'uscita da questa situazione, ma le conseguenze degli attacchi DDoS e la loro efficacia possono essere notevolmente ridotte configurando opportunamente router, firewall e analisi costanti delle anomalie nel traffico di rete. Nella parte successiva dell'articolo daremo uno sguardo a:
modi per riconoscere un incipiente attacco DDoS;
metodi per affrontare tipi specifici di attacchi DDoS;
consigli generali per aiutarti a prepararti a un attacco DoS e ridurne l'efficacia.
Alla fine, verrà data la risposta alla domanda: cosa fare quando è iniziato l'attacco DDoS.
Lotta contro gli attacchi di inondazioni
Quindi, ci sono due tipi di attacchi DoS / DDoS e il più comune di essi si basa sull'idea di inondazione, ovvero inondare la vittima con un numero enorme di pacchetti. Flood è diverso: ICMP flood, SYN flood, UDP flood e HTTP flood. I moderni robot DoS possono utilizzare tutti questi tipi di attacchi contemporaneamente, quindi dovresti prenderti cura di una protezione adeguata contro ciascuno di essi in anticipo. Un esempio di come difendersi dal tipo più comune di attacchi.
HTTP Flood
Uno dei metodi di allagamento più diffusi oggi. Si basa sull'invio continuo di messaggi HTTP GET sulla porta 80 per caricare il server Web in modo che non sia in grado di elaborare tutte le altre richieste. Spesso, la destinazione del flusso non è la radice del server Web, ma uno degli script che eseguono attività ad alta intensità di risorse o lavorano con il database. In ogni caso, una crescita anormalmente rapida dei log del server web servirà da indicatore di un attacco che è iniziato.
I metodi per gestire il flooding HTTP includono l'ottimizzazione del server Web e del database per mitigare l'impatto di un attacco, nonché il filtraggio dei bot DoS utilizzando varie tecniche. Innanzitutto, aumentare contemporaneamente il numero massimo di connessioni al database. In secondo luogo, installa nginx leggero ed efficiente davanti al server web Apache: memorizzerà le richieste nella cache e servirà statico. Questa è una soluzione indispensabile che non solo ridurrà l'effetto degli attacchi DoS, ma consentirà anche al server di sopportare carichi enormi.
Se necessario, puoi utilizzare il modulo nginx, che limita il numero di connessioni simultanee da un indirizzo. Gli script ad alta intensità di risorse possono essere protetti dai bot utilizzando ritardi, pulsanti "Cliccami", l'impostazione dei cookie e altri trucchi volti a controllare "l'umanità".
Suggerimenti universali
Per non entrare in una situazione disperata durante il collasso di una tempesta DDoS sui sistemi, è necessario prepararli con cura per una tale situazione:
Tutti i server con accesso diretto alla rete esterna devono essere preparati per un riavvio remoto facile e veloce. Un grande vantaggio sarà la presenza di una seconda interfaccia di rete amministrativa attraverso la quale è possibile accedere al server in caso di intasamento del canale principale.
Il software utilizzato sul server deve essere sempre aggiornato. Tutti i buchi vengono riparati, vengono installati gli aggiornamenti (semplice come un avvio, consiglio che molti non seguono). Questo ti proteggerà dagli attacchi DoS che sfruttano bug nei servizi.
Tutti i servizi di rete in ascolto destinati all'uso amministrativo devono essere nascosti dal firewall a chiunque non dovrebbe avervi accesso. Quindi l'attaccante non sarà in grado di usarli per attacchi DoS o attacchi di forza bruta.
All'approccio al server (il router più vicino), dovrebbe essere installato un sistema di analisi del traffico, che consentirà di apprendere tempestivamente un attacco in corso e adottare misure tempestive per prevenirlo.
Va notato che tutte le tecniche sono finalizzate a ridurre l'efficacia degli attacchi DDoS, che mirano ad utilizzare le risorse della macchina. È quasi impossibile difendersi da un'alluvione che intasa il canale di detriti, e l'unico modo corretto, ma non sempre fattibile, di combattere è "privare di senso l'attacco". Se hai a disposizione un canale molto ampio che consentirà facilmente il traffico da una piccola botnet, considera che il tuo server è protetto dal 90% degli attacchi.
C'è una difesa più sofisticata. Si basa sull'organizzazione di una rete di computer distribuita, che include molti server ridondanti collegati a dorsali differenti. Quando la potenza di calcolo o la larghezza di banda del canale si esauriscono, tutti i nuovi client vengono reindirizzati a un altro server o gradualmente. "
Un'altra soluzione più o meno efficace è acquistare sistemi hardware. Lavorando in tandem, possono sopprimere un attacco incipiente, ma come la maggior parte delle altre soluzioni basate sull'apprendimento e sull'analisi dello stato, falliscono.
Sembra che sia iniziato. Cosa fare?
Prima dell'inizio immediato dell'attacco, i bot "si riscaldano", aumentando gradualmente il flusso di pacchetti verso la macchina attaccata. È importante cogliere l'attimo e iniziare ad agire. Il monitoraggio costante del router connesso alla rete esterna aiuterà in questo. Sul server vittima è possibile determinare l'inizio dell'attacco mediante i mezzi disponibili.