Un attacco Denial of Service (DoS) è un tentativo dannoso di interferire con la disponibilità di un determinato sistema, come un sito Web o un’applicazione, per conto degli utenti legittimi. In genere, gli attacker generano grandi volumi di pacchetti o richieste travolgendo il sistema di destinazione. Nel caso di un attacco Distributed Denial of Service (DDoS), per generare l’attacco l’attacker utilizza più origini controllate o compromesse.
In generale, gli attacchi DDoS possono essere isolati dallo strato del modello Open Systems Interconnection (OSI) che attaccano. Gli attacchi sono più comuni sui livelli di rete (layer 3), trasferimento (layer 4), presentazione (layer 6) e applicazione (layer 7).
| # | Layer | Applicazione | Descrizione | Esempio di vettore |
| 7 | Applicazione | Dati | Processo di rete e applicazione | Flussi HTTP, flussi di query DNS |
| 6 | Presentazione | Dati | Rappresentazione di dati e crittografia | Uso illecito SSL |
| 5 | Sessione | Dati | Comunicazione tra host | N/D |
| 4 | Trasferimento | Segmenti | Connessioni end-to-end e affidabilità | Flussi SYN |
| 3 | Rete | Pacchetti | Determinazione del percorso e indirizzamento logico | Attacchi di riflesso UDP |
| 2 | Datalink | Frame | Indirizzamento fisico | N/D |
| 1 | Fisico | Bit | Trasmissione media, segnale e binaria | N/D |
Ragionando sulle tecniche di mitigazione contro questi attacchi, è utile raggrupparli come attacchi a livello di infrastruttura (layer 3 e 4) e a livello di applicazione (layer 6 e 7).
Attacchi a livello di infrastruttura
Gli attacchi ai layer 3 e 4 sono di solito assegnati alla categoria di attacchi all’infrastruttura. Questi sono gli attacchi DDoS più comuni e includono vettori come i flussi (SYN) sincronizzati e altri attacchi di riflesso come i flussi UDP (User Datagram Packet). Tali attacchi hanno generalmente un volume elevato e mirano a sovraccaricare la capacità della rete o dei server delle applicazioni. Fortunatamente sono anche attacchi di firma chiara e facili da rilevare.
Attacchi a livello di applicazione
Gli attacchi ai layer 6 e 7 sono spesso categorizzati come attacchi a livello di applicazione. Nonostante siano meno comuni, questi attacchi tendono ad essere più sofisticati. Essi hanno generalmente un volume ridotto rispetto agli attacchi a livello di infrastruttura, ma tendono a concentrarsi su determinate parti costose dell'applicazione, rendendola quindi non disponibile per gli utenti reali. Come esempio, basti considerare un flusso di richieste HTTP a una pagina di accesso o una API di ricerca costosa o dei flussi XML-RPC di Wordpress (noti anche come attacchi pingback di Wordpress).
Riduci la superficie di attacco
Una delle prime tecniche per mitigare gli attacchi DDoS è ridurre al minimo la superficie che può essere attaccata limitando così le opzioni per gli attacker e permettendo la costruzione di protezioni in un unico sito. In questo modo è possibile essere certi di non esporre l’applicazione o le risorse a porte, protocolli o applicazioni da cui non ci si aspetta alcuna comunicazione. In questo modo, sono ridotti al minimo i possibili punti di attacco e diventa possibile concentrare gli sforzi di mitigazione. In alcuni casi, ciò è possibile posizionando le risorse di calcolo su retiCDN (Content Distribution Network) o sistemi di bilanciamento del carico e limitando il traffico diretto di Internet a determinati parti dell’infrastruttura, come ad esempio i server di database. In altri casi, è possibile utilizzare firewall o ACL (Access Control List) per controllare il traffico che raggiunge le proprie applicazioni.
Piano per la scalabilità
Le due considerazioni chiave per mitigare gli attacchi DDoS volumetrici su larga scala sono la capacità di larghezza di banda (o transito) e la capacità del server di assorbire e mitigare gli attacchi.
Capacità di transito. Quando si progettano le applicazioni, assicurarsi che il provider offra un'ampia connettività Internet ridondante che consente di gestire grandi volumi di traffico. Poiché l'obiettivo finale degli attacchi DDoS è influenzare la disponibilità delle risorse e delle applicazioni, è necessario localizzarli non solo dagli utenti finali, ma anche su grandi scambi Internet che consentono agli utenti un facile accesso all'applicazione durante volumi elevati di traffico. Inoltre, le applicazioni Web possono utilizzare reti CDN (Content Distribution Network) e servizi di risoluzione DNS smart che forniscono un livello aggiuntivo di infrastruttura di rete per l’analisi del contenuto e la risoluzione di query DNS da posizioni che spesso sono più vicine agli utenti finali.
Capacità del server. La maggior parte degli attacchi DDoS sono attacchi volumetrici che utilizzano numerose risorse; per questo motivo è molto importante riuscire rapidamente ad aumentare o ridurre le proprie risorse di calcolo. Ciò è possibile eseguendo risorse di calcolo più grandi o quelle con funzionalità come interfacce di rete più estese o reti avanzate che supportano volumi più grandi. Inoltre, è possibile utilizzare anche sistemi di bilanciamento del carico per monitorare e spostare continuamente i carichi tra le risorse in modo da evitare qualsiasi sovraccarico.
Traffico normale e anomalo
Ogni volta che vengono rilevati livelli elevati di traffico che colpiscono un host, la base è quella di poter accettare solo il traffico che l’host può gestire senza influire sulla disponibilità. Questo approccio è detto limitazione di frequenza. Le tecniche di protezione più avanzate possono andare oltre e accettare in modo intelligente solo il traffico legittimo analizzando i singoli pacchetti. Per fare ciò, è necessario comprendere le caratteristiche del traffico buono ricevuto dalla destinazione ed essere in grado di confrontare ciascun pacchetto con questa linea di base.
Distribuisci i firewall per gli attacchi sofisticati alle applicazioni
Una buona pratica è quella di utilizzare un Web Application Firewall (WAF) contro gli attacchi, come l'iniezione di SQL o la falsificazione di richieste tra siti, che tentano di sfruttare una vulnerabilità nell'applicazione stessa. Inoltre, a causa della natura unica di questi attacchi, dovresti essere in grado di creare facilmente mitigazioni personalizzate contro richieste illegittime che potrebbero avere caratteristiche come mascherare un traffico buono o provenire da IP non validi, aree geografiche impreviste e così via. A volte potrebbe anche essere utile mitigare gli attacchi mentre si ottiene il supporto degli esperti per studiare i modelli di traffico e creare protezioni personalizzate.
Il tuo account rientrerà nel piano gratuito di AWS, che consente di acquisire esperienza gratuita diretta con la piattaforma, i prodotti e i servizi AWS.
Tutti i clienti AWS beneficiano delle funzionalità di protezione automatica di AWS Shield Standard, senza costi aggiuntivi.