Contenere gli attacchi DDoS, ecco come si fa

Contenere gli attacchi DDoS, ecco come si fa

Gli attacchi DDoS (Distributed Denial-of-Service) sono un fenomeno “occulto” (nel senso di non visibile all’utente medio) estremamente diffuso, e rappresentano un problema serio in molti casi. L’obiettivo di questo tipo di attacchi, che non sono altro che un insieme di richieste, veloci e numerose, recapitate contemporaneamente ad un server obiettivo, con lo scopo di sovraccaricarlo e renderlo inutilizzabile, è quello di rendere inagibile uno o più siti vittima. Il DoS “ordinario”, in particolare, opera con un singolo computer, mentre il DDoS opera con una rete di attaccanti.

Un modo piuttosto comune per attaccare i siti web con modalità DDoS consiste nel saturare la macchina target con un gran numero di richieste (di solito mediante appositi script in Python, Perl o PHP), in modo tale da riempirne la memoria o sovraccaricarne la CPU, provocare errori irreversibili, floodare la macchina destinazione e/o saturare la rete della macchina destinazione. Alcuni tipi di attacchi DDoS, inoltre, possono riguardare l’abuso di DNS di una macchina ospitante, così come avvenuto nel caso degli spammer che hanno attaccato spamhaus.org mediante CloudFlare. A parte i boicottaggi di natura commerciale, per così dire, non è infrequente che casi del genere vadano a colpire siti e servizi web per motivi politici o come forma di protesta sociale.

visualizationLe richieste vengono distribuite da vari “punti di attacco” in modo da vanificare il ban di un singolo IP, oppure basandosi sul fatto che il firewall della macchina destinazione non filtri adeguatamente i pacchetti in ingresso. Negli attacchi DDoS (distribuiti, a differenza dei DoS) quello che succede di solito è che un “computer master” “schiavizza” una gerarchia di “schiavi” che saranno poi incaricati di smistare le richieste illecite di traffico (immagine tratta da linuxaria)

 

 

 

Cosa provoca un DDoS?

In linea di massima, il downtime del server vittima e, come conseguenza, del sito che lo ospita: sotto attacco di questo tipo non sarà possibile accedere al sito nè modificarlo. Per risolvere questo genere di situazioni è opportuno mettere offline la macchina, prendere provvedimenti atti a rafforzare la sicurezza dell’hosting e successivamente riavviare il servizio. Di solito questo genere di lavori viene effettuato da personale specializzato.

Come avviene un DDoS?

Essenzialmente mediante l’invio di pacchetti “falsificati” ad una macchina obiettivo; in caso si DDoS, a differenza del DoS singolo, i pacchetti sono smistati secondo una logica idonea atta ad espandere esponenzialmente, ad ogni livello successivo, l’effetto dell’attacco. La ricerca di nodi “schiavi” opportuni passa per l’analisi di falle informatiche da sfruttare per l’attaccante, spesso all’insaputa del computer vittima (computer “zombi“, cosiddetti in questo caso).

Come combattere questi attacchi

Se ne caso del DoS era piuttosto semplice bannare l’IP attaccante, nel caso distribuito le cose possono non essere così immediate. La logica di sicurezza per evitare situazioni di questo tipo, in queste situazioni, consiste nel bloccare anzitutto i servizi inessenziali che girino sul nostro server, bloccare le porte non indispensabili, aggiornare spesso il sistema operativo, disabilitare l’IP broadcast, usare firewall ben configurati, usare blacklist ed altro ancora.

Per quanto inoltre esistano misure di sicurezza potenziate (si veda Cloudflare, oppure GlobalDots) per vari servizi web, nessuna di queste potrà mai dare la certezza assoluta di non avere mai problemi in questo senso.

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Guide per webmaster):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.