Indice dei contenuti dell'articolo:
Una delle caratteristiche non prese in considerazione nel momento di un acquisto di uno spazio hosting o di un server cloud o di un server dedicato è quella di conoscere come l’hosting provider si comporterà nel momento che il tuo sito verrà preso di mira da qualche attaccante con qualche DDOS (Attacco di negazione del servizio distribuito).
Non entreremo nel dettaglio delle varie tipologie di attacco a livello 3 o livello 7 del modello ISO / OSI perchè non vogliamo addentrarci in un infinita vastità di modalità di attacco DDOS in continua e costante evoluzione.
Vogliamo solo portarti a conoscenza di quali sono i due comportamenti più utilizzati nel momento in cui il tuo sito verrà attaccato e inspiegabilmente lo vedrai andare giù senza nessun apparente motivo e sarai solo contro hacker esperti che ti stanno mettendo offline per ore o giorni.
In quel momento di buio assoluto in cui non sai minimamente ne cosa sta succedendo ne quali contromisure prendere, ti assicuro che avere un hosting provider comprensivo, ben preparato e collaborativo equivale ad incontrare un venditore di bibite ghiacciate dopo 3 giorni di sete ed agonia in mezzo al deserto.
Questo articolo nasce da una disavventura che abbiamo avuto con un nostro cliente che seguiamo su un suo fornitore (non nostro) che ha ricevuto un attacco ieri sera. Voglio pertanto portarti a conoscenza di cosa è successo e di quali sono comunque dei comportamenti standard (non solo di questo fornitore) quando un sito o un’istanza VPS (come in questo caso) riceve un DDOS.
Sebbene si possa ingenuamente pensare che un attacco DDOS sia qualcosa di estremamente raro, improbabile, ai limiti dell’impossibile, bisogna dire che le cose stanno diversamente come riportato dalla seguente infografica che riporta la situazione inerente nel nostro paese nel 2017 e comunque attuale.
Messa offline del sito e del server. Ecco un caso reale.
Per quanto possa sembrare poco credibile, questo modus operandi è uno di quelli ancora maggiormente in voga da hosting provider economici che non tengono in conto nel loro modello di business che con molta probabilità ogni loro cliente prima o poi riceverà un attacco DDOS più o meno importante.
Un esempio pratico riguarda un noto Hosting Provider Tedesco famoso per vendere istanze VPS ben dimensionate a costi sicuramente molto invitanti (dai 5 ai 30 euro al mese per intenderci).
La cosa estremamente interessante è che tutti le loro soluzioni VPS Linux di qualsiasi taglia e qualsiasi prezzo hanno incluso la gestione DDOS come riportato da loro stessi :
Se clicchiamo sulla vice info in arancio andiamo ad una pagina di approfondimento che recita testualmente (versione tradotta in Italiano con Google Translate) :
L’ attacco DDoS (Distributed Denial of Service) si riferisce al sovraccarico di un server o di un servizio, che è l’obiettivo dell’attacco, inviando una quantità elevata di richieste, spesso inutili, in modo che il server o il servizio non sia in grado di completare i suoi compiti regolari più. Il server o il servizio è proverbialmente “spazzato via”, non è più possibile raggiungerlo via Internet, fino a quando l’attacco continua.
Sfortunatamente, gli attacchi DDoS stanno diventando gradualmente un evento più comune su Internet. I server dei clienti Contabo stanno diventando più spesso l’obiettivo di tali attacchi. Senza un’efficace protezione DDoS, i server sotto attacco non sarebbero disponibili su Internet per un tempo prolungato.
Al fine di proteggere i nostri clienti da tali attacchi e dai problemi di disponibilità che accompagnano il più possibile, Contabo ha sviluppato una protezione DDoS interna. Questa protezione DDoS è gratuita per tutti i nostri clienti, viene attivata automaticamente per tutti i server e pacchetti di spazio web nei data center Contabo.
Come funziona la protezione Contabo DDoS?
La protezione DDoS di Contabo è un sistema di sicurezza che rileva automaticamente la maggior parte dei pattern di attacco DDoS e che filtra il traffico in entrata sul server in modo che il traffico “dannoso” di attacco venga eliminato e solo il traffico “reale” desiderato arrivi al server. Ciò significa che tu, come cliente Contabo, noterai a malapena un possibile attacco mentre la nostra protezione DDoS filtra l’attacco in corso per te.
Cosa fornisce la protezione Contabo DDoS?
La protezione Ddos di Contabo è stata sviluppata in modo da riconoscere il 99% di tutti i pattern di attacco che filtrerà. In tutti questi casi i server rimarranno online e disponibili su Internet, anche se sono sotto attacco.
Cosa non fornisce la protezione Contabo DDoS?
Come ogni altra protezione DDoS utilizzata o offerta su Internet, la protezione DDoS di Contabo ha i suoi limiti. Sebbene la nostra protezione riconosca e filtri il 99% di tutti i modelli di attacco, ci sono alcuni attacchi DDoS che non possono essere mitigati a causa del loro pattern o del loro volume puro. La probabilità che il tuo server sia influenzato da attacchi che la nostra protezione DDoS non può filtrare è molto bassa. Inoltre, lavoriamo continuamente per migliorare ulteriormente il nostro sistema di protezione in modo che anche gli attacchi che non possiamo evitare oggi vengano riconosciuti e filtrati anche nel prossimo futuro. Tuttavia, ti chiediamo di capire che la protezione Contabo DDoS – come qualsiasi altra protezione DDoS – non garantisce che il tuo sistema server sarà protetto da ogni attacco DDoS teoricamente concepibile.
Cosa devo fare come cliente Contabo per ottenere la protezione DDoS?
Niente. La nostra protezione DDoS è gratuita per tutti i clienti Contabo, viene attivata automaticamente per tutti i server e pacchetti di spazio web nei data center Contabo. Sia i nostri clienti esistenti che i nuovi clienti non devono fare nulla, il tuo uplink sarà automaticamente e permanentemente protetto dalla nostra protezione DDoS.
Di seguito lo screenshot originale in lingua inglese preso dal loro sito : https://bit.ly/31Zabdp
Leggendo sopra insomma, vien da pensare che a meno che non si viene presi di mira con traffico di centinaia di gigabit al secondo, l’hosting provider dovrebbe essere in grado di mitigare in massima serenità il DDOS in ingresso a livello 3 senza creare disservizi al business del cliente.
Eppure ieri è arrivata questa comunicazione tramite mail in cui si annunciava la messa offline un’intera istanza VPS ad oltranza, per appena 1 gigabit al secondo di traffico in ingresso. Più che un attacco DDOS direi “una carezza di DDOS”
Insomma, al primo piccolo problema il fornitore ha praticamente messo offline l’istanza VPS e il business del cliente. L’unica salvezza è stata quella di un DDOS di breve durata che ha permesso di riaccendere l’istanza dopo circa un ora a loro insindacabile giudizio. Se l’attacco fosse durato ore, giorni o settimane, sarebbe stato offline per tutta la durata dell’attacco.
Adesso questo caso, non vuol e non deve essere una presa di posizione negativa verso un fornitore in particolare, semplicemente riportiamo uno dei tanti casi recenti.
Managedserver.it offre collaborazione e mitigazione DDOS nella salvaguardia del cliente.
Come fornitori crediamo che un cliente debba avere la possibilità di essere tutelato in maniera professionale da attacchi DDOS sia di livello 3 che di livello 7, ovvero rete e applicativo.
A livello 3 per attacchi di tipo volumetrico (Flooding di pacchetti) abbiamo la possibilità di lavorare a più livelli, sia tramite filtering di pacchetti tramite sistemi hardware dedicati sugli edge router, sia tramite la partnership con Arbor Networks del nostro datacenter.
Arbor Networks è uno dei principali fornitori di soluzioni di sicurezza e gestione delle reti per aziende, fornitori di servizi e organizzazioni governative di tutto il mondo.
Arbor si distingue dagli altri ISP di sicurezza in quanto sfrutta la propria capacità di fornire servizi trasformandola in un vantaggio per tutti i clienti. Arbor ha creato ATLAS, un progetto nato dalla collaborazione con oltre 230 Service Provider che hanno accettato di condividere dati anonimi sul traffico Internet con l’ASERT (Arbor Security Engineering & Response Team). Questi dati, in totale 35 Tbps, sono migliorati dalla rete globale “honeypot” di Arbor, costituita da oltre 45 sensori nello spazio oscuro e inutilizzato degli indirizzi delle reti dei clienti. Le informazioni vengono aggregate e analizzate dal team ASERT e quindi reinviate ai clienti sotto forma di signature degli attacchi tramite i prodotti Arbor in uso. Arbor è quindi in una posizione ideale per fornire dati elaborati sugli attacchi DDoS, malware, botnet, exploit e phishing che oggi minacciano l’infrastruttura e i servizi Internet. In ultima analisi, l’ATLAS fornisce un notevole vantaggio competitivo mettendo a disposizione dei clienti sia una micro-panoramica della loro rete che una macro-panoramica del traffico di rete globale. Oggi questa potente combinazione di informazioni sulla sicurezza della rete non conosce rivali.
Dopo aver completato un esame approfondito della capacità dei nostri sistemi di resistere agli attacchi DDoS, ManagedServer.it ha implementato nella nostra rete strumenti di attenuazione della protezione DDoS, che consistono principalmente di hardware Arbor e Juniper. Il nostro sistema a tre livelli ci consente di distinguere chiaramente tra traffico valido e attacchi dannosi.
Flusso di traffico durante le normali operazioni
Flusso di traffico in un sistema protetto da DDoS durante un attacco
Il sistema di protezione DDoS è suddiviso nei seguenti livelli:
1. Riconoscimento automatico dei modelli di attacco
Oltre a riconoscere un attacco in base alla quantità di traffico o al numero di pacchetti, saremo in grado di definire chiaramente l’attacco vero e proprio e quindi di entrare in casa e reagire specificamente a quel particolare tipo di attacco. Ad esempio, un flood UDP con 500k pps è innocuo per un server. Un pacchetto SYN da 500k, tuttavia, potrebbe rappresentare un problema. I nostri strumenti di protezione DDoS sono in grado di rilevare con precisione questo tipo di differenza.
2. Filtro del traffico per modelli di attacco noti
Questo metodo ci consente di filtrare in modo efficace gli attacchi più noti inserendoli attraverso i filtri per il controllo del traffico. Il metodo è particolarmente efficace nello svuotamento dei seguenti tipi di attacchi: riflessione DNS, riflessione NTP e flood UDP sulla porta 80.
3. Autenticazione Challenge-response e filtro del traffico dinamico
In questo ultimo livello, filtriamo gli attacchi sotto forma di alluvioni SYN, inondazioni DNS e pacchetti non validi. Siamo anche in grado di adattarci in modo flessibile ad altri attacchi unici e di mitigarli in modo affidabile.
Le tecnologie di cui sopra supportano un elevato livello di automazione, che a sua volta continuerà ad essere ottimizzato passo dopo passo. Possiamo migliorare il sistema analizzando ogni attacco e adeguando costantemente i nostri filtri e le nostre risposte.
La protezione DDoS a livello 3 non farà aumentare i costi o i prezzi e sarà disponibile per tutti i clienti. Il nostro sistema rileverà gli attacchi DDoS in ogni momento e la sua capacità di riconoscerli migliorerà continuamente. Una volta riconosciuto un attacco, gli strumenti di protezione DDoS dinamici entrano immediatamente in azione e filtrano l’attacco. Il tuo traffico di solito non sarà influenzato dal sistema di protezione DDoS a causa del suo metodo dinamico di mitigazione degli attacchi.
Cloudflare
In aggiunta ad una protezione integrata come Arbor Networks, sopratutto per attacchi a livello 7 (Applicativo) disponiamo di piani commerciali di CloudFlare con funzione di CDN e WAF (Web Application Firewall).
Cloudflare, Inc. è una società americana che si occupa di content delivery network (rete per la consegna di contenuti), servizi di sicurezza internet e servizi di DNS distribuiti, che si pongono tra i visitatori di un sito e gli hosting provider degli utenti Cloudflare, agendo come un reverse proxy server per siti web.
Cloudflare offre a tutti i clienti un’impostazione “Modalità sono sotto attacco” ritenendo che questa sia in grado di mitigare gli attacchi avanzati di Livello 7 grazie a una sfida computazionale (challenge) in JavaScript che deve essere completata prima che l’utente abbia accesso a un sito.
Ha difeso SpamHaus da un attacco DDoS superiore ai 300 Gbit/s. L’architetto capo di Akamai ha dichiarato che è stato “il più grande attacco DDoS annunciato pubblicamente della storia di internet”. A quanto si dice ha inoltre assorbito degli attacchi con picchi di oltre 400 Gbit/s da un reflection attack NTP.
Cloudflare consente ai clienti con pacchetti ad abbonamento di usufruire di un servizio di firewall per applicazioni web. Di default, il firewall ha impostate le regole di ModSecurity di OWASP insieme alle proprie regole e quelle delle applicazioni web comuni.
Cloudflare offre servizi di server di nomi di dominio (DNS) a tutti i clienti che lavorano su rete anycast. Secondo W3Cook, il servizio DNS di Cloudflare attualmente potenzia oltre il 35% dei domini DNS gestiti. SolveDNS ha riscontrato che Cloudflare dispone costantemente di una risoluzione DNS tra le più veloci al mondo, con una risoluzione di 8,66 ms registrata nell’aprile 2016.
Non solo strumenti ma sopratutto know how
Oltre ad adottare le giuste soluzioni hardware / software e le giuste partnership commerciali con aziende specializzate in sicurezza, un adeguato know how è fondamentale per comprendere l’attacco in corso, individuare i pattern e adottare la migliore soluzione di filtering e di mitigazione DDOS.
Ovviamente a prescindere deve esserci una preparazione adeguata e la volontà di proteggere un cliente in un momento di difficoltà piuttosto che accettare di spegnere la macchina e rischiare di perdere un cliente che al momento potrebbe essere la soluzione tra costi / benefici più conveniente per il provider.
La verità è che bisogna essere pronti e noi a differenza di molti altri fornitori lo siamo.