Come proteggiamo i nostri clienti dagli attacchi DDoS

18 Febbraio 2019 / Pubblicato in:  da Ivan Messina
Nessun commento

Gli attacchi DDoS sono una minaccia dal momento che un attacco distribuito può portare un sovraccarico sul server e conseguente down di tutti i siti dei clienti. Questi attacchi volumetrici possono creare non pochi problemi in quanto viene saturata la banda e quindi viene sovraccaricato il server web fino a renderlo irraggiungibile.

È necessario prendere delle precauzioni per evitare che un attacco di questo tipo possa creare dei disservizi ai clienti, cosa che succede nella maggior parte dei casi e che sta succedendo in questi giorni ad un provider italiano come si vede dalla loro pagina FaceBook:

Attacco DDoS host

Sul nostro sito abbiamo un articolo che spiega come migliorare la sicurezza di WordPress ma per questo tipo di attacchi è necessario che sia il provider e non l’utente e prendere le dovute precauzioni.

Cos’è un attacco DDoS?

Un attacco DDoS (distributed denial-of-service)  è un tipo di attacco informatico che consiste nel sovraccaricare un server, servizio o network con un’ondata di traffico proveniente da diverse sorgenti, creando quindi un numero di richieste superiore a quello che il sistema informatico è in grado di gestire. Esiste anche un tipo di attacco DoS, che non essendo distribuiti sono più facili da arginare. Gli attacchi DDoS distributed denial of service traggono la loro efficienza dall’utilizzo di sorgenti di traffico multiple, sorgenti che sono state precedentemente compromesse a questo scopo. Un attacco DDoS è come un’autostrada trafficata, tanto trafficata da non permettere al normale traffico di arrivare a destinazione. In pratica un attacco DDoS inonda il server con richieste di connessione continue.

Come funziona un attacco DDoS

Il primo requisito di un attacco DDoS è che l’attaccante abbia il controllo di una rete di macchine online per poter dirigere l’attacco. Queste vengono infettate con un malware in modo da poter essere usate come un bot. L’attaccante ha quindi il controllo su queste macchine (bots), questa rete viene chiamata botnet.

Una volta creata la botnet l’attaccante fornisce le istruzioni per l’attacco da remoto. Una volta che l’IP della vittima viene deciso ogni bot invia delle richieste causando un sovraccarico che risulta in una impossibilità di offrire il servizio al normale traffico. Dal momento che ogni bot appare come normale traffico è difficile separare gli attaccanti dal normale traffico. In questo modo i bot continuano ad occupare tutte le risorse di rete.

La soluzione di SupportHost

SupportHost usa degli strumenti automatici per proteggere le applicazioni i siti ed i server dei clienti da questo tipo di minaccia. Il nostro sistema automatico di prevenzione riconosce quasi tutti questi attacchi in anticipo, permettendoci di bloccarli sul nascere e sventare questo tipo di attacchi prima che possano creare disservizi ai nostri clienti. Proteggiamo i nostri clienti con hardware Arbor e Juniper.

trasmissione dei dati in condizioni normali
trasmissione dei dati in condizioni normali
trasmissione dei dati durante un attacco DDoS
trasmissione dei dati durante un attacco DDoS

Riconoscimento dei pattern di attacco

Oltre a riconoscere l’attacco basandoci sulla quantità di traffico ricevuto, SupportHost è in grado di definire il tipo di attacco e reagire in modo adeguato ad ogni tipo di attacco pre prevenirlo.

Per esempio un UDP flood con 500k pps non crea alcun problema al server, mentre un pacchetto SYN 500k potrebbe creare problemi. La nostra protezione DDoS può individuare la differenza tra i due e reagire di conseguenza.

Filtraggio del traffico in base ai pattern di attacco

Questo metodo ci permette di filtrare in modo automatico i metodi di attacco già conosciuti e far passare questo traffico tramite i nostri filtri. Questo metodo è particolarmente efficace per i seguenti tipi di attacco: DNS reflection, NTP reflection, e UDP floods sulla porta 80.

Challenge-Response Authentication e filtraggio dinamico del traffico

In questo ultimo livello filtriamo gli attacchi SYN floods, DNS floods e pacchetti invalidi. Siamo inoltre in grado di adattarci in modo flessibile ad altri tipi di attacchi per poterli mitigare. Queste tecnologie ci permettono un alto livello di automazione, automazione che viene costantemente aggiornata ed ottimizzata. Miglioriamo costantemente il sistema in modo da ottimizzare i filtri e le risposte.

Cosa comporta per i clienti

La nostra protezione DDoS non incide sui prezzi che offriamo ai nostri clienti. Il nostro sistema riconosce gli attacchi DDoS e la sua abilità di riconoscerli migliora nel tempo. Una volta che l’attacco viene riconosciuto, la nostra protezione DDoS dinamica entra in azione filtrando l’attacco. Il tuo traffico non sarà influenzato dalle nostre protezioni dinamiche atte a mitigare l’attacco.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *