Misure contro gli attacchi DDoS
L’acronimo DDoS («Distributed Denial of Service») indica un attacco a sistemi informatici con lo scopo dichiarato di limitarne la disponibilità. Le conseguenze economiche per la vittima possono essere notevoli. A differenza di quanto avviene nel caso di un attacco DoS semplice, l’aggressione parte da più computer e può avvenire a livello di rete, di applicazione o di una combinazione di entrambe. Normalmente per questi attacchi vengono sfruttate delle «botnet» (numero consistente di sistemi hackerati che possono essere comandati a distanza) o sistemi con errori di configurazione (ad es. Open DNS Resolver). Tali sistemi vengono indotti da richieste manipolate a inviare risposte voluminose all’indirizzo «sbagliato» – ossia quello del bersaglio (si parla di attacco di amplificazione). Il volume dei dati raggiunge spesso molte centinaia di Gbit/s. Si tratta di volumi che solitamente una singola organizzazione non riesce a fronteggiare senza un aiuto esterno. Anche firewall e IPS («intrusion prevention systems») appositamente configurati hanno solo un’efficacia limitata.
I motivi alla base degli attacchi DDoS sono per lo più legati all’attivismo politico, a tentativi di estorsione o all’intenzione di danneggiare un concorrente.
Misure preventive
Idealmentetutti hanno già avuto a che fare con attacchi DDoS e sanno come difendersi in un qualche modo:
- conoscete la vostra infrastruttura e i suoi punti deboli. Quali sono i servizi che garantiscono la stabilità e il funzionamento della vostra organizzazione? Pensate anche ai sistemi base essenziali per il funzionamento dei programmi aziendali;
- conoscete lo «stato normale» delle vostre reti e dei vostri sistemi e siete in grado di rilevare le anomalie (ad es. con sistemi IDS per la valutazione centralizzata dei log). Un attacco DDoS va scoperto prima che lo notino i clienti;
- controllate la disponibilità delle applicazioni clienti anche dal punto di vista dei clienti, ossia tramite il collegamento Internet;
- i vostri sistemi sono ottimizzati (senza servizi inutili, assegnazione controllata dei diritti, elevato livello di autenticazione ecc.), i patch sono aggiornati, i cookies SYN sono attivati ecc.;
- un firewall permette di accedere al sistema solo ai protocolli necessari. Il firewall dispone di risorse di sistema sufficienti per continuare a funzionare anche in caso di attacco DDoS. Occorre prestare particolare attenzione alla «connection table» e a una buona gestione delle regole che permettano di implementare ulteriori regole di blocco in caso di emergenza;
- verificate le possibilità di impostare un blocco su base GeoIP. Se i clienti provengono principalmente dalla Svizzera o dai Paesi vicini, è possibile creare un profilo che dia la priorità agli indirizzi di quest’area o che blocchi altri indirizzi IP. In caso di attacco è possibile attivare questo profilo, ottenendo così rapidamente nuove possibilità di intervento e una maggiore protezione;
- un «web application firewall» riduce al minimo le possibilità di attacco a servizi su base web;
- i sistemi che potrebbero diventare bersaglio di un attacco DDoS (ad es. un sito Internet) dovrebbero basarsi su un uplink Internet diverso rispetto agli altri sistemi dell’organizzazione. In questo modo è possibile proteggere più facilmente i sistemi interessati con un provider di mitigazione dagli attacchi DDoS senza ripercussioni sugli altri sistemi necessari per l’attività quotidiana;
- predisponete soluzioni alternative, ad esempio creando su un altro provider un sito Internet statico con un minimo indispensabile di informazioni che possa essere attivato con una semplice modifica del DNS;
- in generale, cercate di bilanciare i TTL del server DNS in modo da poter contrastare tempestivamente un tentativo di identificare l’indirizzo IP del dominio;
- mettete a punto una strategia da attuare in caso di attacco DDoS. I responsabili devono conoscere la procedura e i contatti interni ed esterni (service provider, polizia ecc.);
- nel peggiore dei casi potete ricorrere a risorse interne o esterne garantite su base contrattuale (in particolare personale e infrastruttura);
- discutete degli attacchi DDoS a livello aziendale e con i partner esterni e effettuate delle simulazioni. Così in caso di attacco ognuno sa qual è il suo ruolo e a chi rivolgersi.