Tecniche di mitigazione e strumenti di sicurezza quali servizi di protezione dagli attacchi di tipo Distributed Denial of Service (DDoS), Web Access Firewall (WAF) e reti per la distribuzione di contenuti o CDN (Content Delivery Network)

Prova la protezione dagli attacchi DDoS
bnr_security_380x186

Un attacco di tipo Denial of Service (DoS) è un tentativo di interrompere la disponibilità per gli utenti di un determinato sistema, ad esempio un sito Web o un'applicazione. In genere, gli aggressori generano volumi di pacchetti o di richieste tali da sovraccaricare il sistema preso di mira. Durante un attacco di tipo Distributed Denial of Service o DDoS, l'aggressore genera il flusso utilizzando diverse sorgenti compromesse e sotto il suo controllo.

In generale, gli attacchi di tipo DDoS possono essere suddivise in base al livello del modello OSI (Open Systems Interconnection) preso di mira. Nella maggior parte dei casi si verificano a livello di rete (livello 3), trasporto (livello 4), presentazione (livello 6) e applicazione (livello 7).


N. Livello Applicazione Descrizione Esempio di vettore
7 Applicazione Dati Elaborazione di rete verso l'applicazione Flood HTTP, flood query DNS
6 Presentazione Dati Rappresentazione e crittografia dei dati SSL abuse
5 Sessione Dati Comunicazione tra host N/D
4 Trasporto Segmenti Connessioni end-to-end e affidabilità Flood SYN
3 Rete Pacchetti Determinazione del percorso e indirizzamento a livello logico Attacco UDP di reflection
2 Collegamenti dati Frame Indirizzamento a livello fisico N/D
1 Fisico Bit Oggetti multimediali, segnale e trasmissione binaria N/D

Per poter adottare delle tecniche di mitigazione, può essere utile raggruppare gli attacchi come indirizzati all'infrastruttura (livelli 3 e 4) e alle applicazioni (livelli 6 e 7).

Attacchi all'infrastruttura

Gli attacchi a livello 3 e 4 del modello OSI sono considerati attacchi all'infrastruttura. Si tratta del tipo di attacco DDoS più comune e include vettori quali flood sincronizzati (SYN) e altri attacchi di reflection, ad esempio flood di User Datagram Packet (UDP). In genere si tratta di eventi di grandi dimensioni che puntano a sovraccaricare la capacità di rete o dei server di applicazioni. Per fortuna, tuttavia, si tratta anche di attacchi facilmente riconoscibili e quindi semplici da rilevare.

Attacchi alle applicazioni

Gli attacchi a livello 6 e 7 del modello OSI sono spesso considerati attacchi alle applicazioni. Questo tipo di minacce è meno comune, ma anche molto più sofisticato. In genere comporta attacchi che coinvolgono volumi di dati inferiori rispetto agli attacchi all'infrastruttura, ma si concentrano su porzioni costose dell'applicazione, rendendola non disponibile agli utenti. Ad esempio, un sovraccarico di richieste HTTP a una pagina di login, un'API di ricerca molto importante, oppure un flood XML-RPC contro WordPress (che sfrutta le vulnerabilità di pingback di WordPress).

Riduzione della superficie di attacco

Una delle prime tecniche da mettere in atto per mitigare gli attacchi di tipo DDoS è ridurre al minimo la superficie esposta, limitando quindi le opzioni disponibili per gli aggressori e configurando sistemi che proteggano l'intero sistema da una singola posizione. Ad esempio, è importante non esporre l'applicazione o le relative risorse a porte, protocolli o applicazioni da cui non è attesa alcuna comunicazione. In questo modo, i punti da cui è possibile subire attacchi sono limitati ed è più semplice concentrarsi sulla mitigazione. In alcuni casi, ad esempio, è sufficiente proteggere le risorse di elaborazione con una rete per la distribuzione dei contenuti o un sistema di bilanciamento del carico e limitare il traffico Internet diretto a determinate parti dell'infrastruttura, ad esempio i server di database. In altri casi è possibile utilizzare firewall o liste di controllo degli accessi (ACL) per controllare quale porzione di traffico può raggiungere le applicazioni.

Pianificazione della scalabilità

I due fattori principali per ottenere la mitigazione degli attacchi volumetrici di tipo DDoS su vasta scala sono la capacità della larghezza di banda in transito e la capacità dei server di assorbire e mitigare gli attacchi.

Capacità in transito. Al momento della progettazione di un'applicazione, è importante verificare che il provider di hosting offra connettività Internet con elevata ridondanza, mediante la quale è possibile gestire grandi volumi di traffico. Poiché l'obiettivo ultimo degli attacchi di tipo DDoS è pregiudicare la disponibilità di risorse e applicazioni, è consigliabile posizionarle non solo nelle aree dove operano gli utenti finali, ma anche in punti di scambio su Internet che consentano agli utenti di accedere all'applicazione anche durante i picchi di traffico. Le applicazioni Web possono offrono inoltre un'ulteriore possibilità, ovvero l'utilizzo di reti per la distribuzione dei contenuti e servizi smart di risoluzione DNS che offrono un ulteriore livello di infrastruttura di rete per distribuire i contenuti e risolvere le query DNS a partire da percorsi più prossimi agli utenti finali.

Capacità dei server. La maggior parte degli attacchi DDoS sono attacchi volumetrici che puntano a occupare enormi quantità di risorse; è quindi molto importante poter ricalibrare rapidamente la capacità di elaborazione. Per ottenere questo risultato è possibile utilizzare più risorse di elaborazione di quante non siano necessarie, oppure affidarsi a risorse con caratteristiche quali interfacce di rete estese o reti avanzate in grado di supportare la trasmissione di grandi volumi di dati. In alternativa, spesso vengono utilizzati sistemi di bilanciamento del carico che monitorano in modo continuo il carico e lo trasferiscono da una risorsa all'altra per evitarne il sovraccarico.

Distinzione tra traffico normale e traffico anomalo

Quando vengono rilevati livelli di traffico molto elevati in un host, la prima risposta è di accettare tutto il traffico che quell'host è in grado di gestire senza pregiudicarne la disponibilità. Si tratta di limitazione della velocità. Una tecnica più avanzata di protezione procede invece ad analizzare i singoli pacchetti per accettare esclusivamente il traffico considerato legittimo. Per ottenere questo risultato, è però necessario poter riconoscere il traffico considerato normale per poterlo confrontare con tutti i pacchetti in arrivo.

Firewall contro attacchi sofisticati

È buona norma utilizzare un Web Application Firewall (WAF) contro determinati tipi di attacchi, ad esempio SQL injection o cross-site request forgery, che cercano di sfruttare le vulnerabilità dell'applicazione. Inoltre, poiché si tratta di attacchi abbastanza particolari, non dovrebbe essere troppo complicato creare sistemi di mitigazione contro richieste anomale, ad esempio che cercano di mimetizzarsi come traffic normale o che provengono da IP non affidabili, aree geografiche inusuali e così via. In alcuni casi può anche essere utile richiedere assistenza e analizzare i modelli di traffico per creare sistemi di protezione personalizzati.

Registrati

Il tuo account rientrerà nel piano gratuito di AWS, che consente di acquisire esperienza gratuita diretta con la piattaforma, i prodotti e i servizi AWS.

Impara

Apprendi le nozioni fondamentali e sperimenta con la protezione dagli attacchi DDoS in AWS con tutorial dettagliati.

Crea

Tutti i clienti AWS beneficiano delle funzionalità di protezione automatica di AWS Shield Standard, senza costi aggiuntivi.

Prova AWS Shield