Attacco DDoS: Quando è impossibile fermarlo!

DDoS di tipo volumetrico, l’incubo!

Gli attacchi DDoS sono relativamente economici e facili da eseguire, quindi ogni organizzazione è un potenziale bersaglio. Come rispondere a un DDoS e mitigare la minaccia?

Gli attacchi DDoS (Distributed denial-of-service) sono oggi relativamente facili da configurare ed eseguire, e sono molto economici; è possibile acquistarli per una piccola somma di denaro comodamente seduti sul divano. Non a caso, il DDoS è una delle tecniche di criminalità informatica più comuni e popolari. I motivi di un attacco DDoS possono essere molto diversi, che vanno dalla vendetta, l’estorsione, o anche la distrazione mentre viene effettuato un altro attacco informatico.

internet scrubbing center - attacco DDoS
internet scrubbing center – attacco DDoS

ESEMPIO

All’inizio di ottobre 2017, il SI-CERT,  ha segnalato un tentativo di interrompere i servizi online presso alcune banche slovene per ottenere benefici finanziari, insomma era un ricatto. Gli aggressori hanno iniziato attacchi DDoS e inviato e-mail alle banche, chiedendo un riscatto per fermare gli attacchi.

Gli aggressori hanno effettuato i cosiddetti attacchi basati sul volume, il che significa che hanno inondato la rete di destinazione con un grande volume di traffico che ha saturato i collegamenti di rete tra le banche (target) e i loro fornitori di servizi Internet. Per quanto riguarda gli attacchi DDoS basati sul volume, gli aggressori utilizzano tipicamente un gran numero di dispositivi di rete geograficamente distribuiti che generano un’enorme quantità di traffico di rete e lo inviano verso le reti di destinazione.

L’entità del traffico di rete supera solitamente i 20 Gb/s o addirittura 100 Gb/s, mentre i più grandi attacchi DDoS conosciuti hanno una grandezza di oltre 1 Tb/secondo!



 

Difendiamoci

Non potete difendere la vostra rete dagli attacchi DDoS a volume con metodi di sicurezza standard e in loco (ci ritorno dopo). Quando il traffico DDoS inonda il collegamento tra la rete di destinazione e il fornitore di servizi, è completamente irrilevante per quanto riguarda il tipo di firewall che protegge la rete di destinazione e che tipo di politiche di sicurezza vengono implementate su di essa o su qualsiasi altro dispositivo di sicurezza all’interno della rete di destinazione.

Inoltre, altri meccanismi di sicurezza che ci proteggono da diversi tipi di attacchi non ci aiuteranno molto quando la nostra rete è sotto attacco DDoS. Naturalmente, è fondamentale mantenere i dispositivi di rete, i server e le workstation aggiornati e corretti per ridurre al minimo i rischi, ma purtroppo tutte queste misure non vi aiuteranno contro un attacco DDoS. La capacità del collegamento Internet locale è semplicemente troppo piccola rispetto alla quantità di traffico DDoS.

Possiamo mitigare un attacco DDoS da soli?

No. Almeno non solo con gli strumenti di sicurezza standard presenti presso la Vs struttura. In collaborazione con il vostro fornitore di servizi Internet è tuttavia possibile impiegare metodi di protezione DDoS.

Per i fornitori di servizi è relativamente facile rilevare un attacco DDoS nella propria rete:

È difficile ignorare un aumento improvviso ed enorme del traffico da un ampio pool di indirizzi verso un determinato indirizzo di destinazione.
In genere, il traffico utilizza la stessa combinazione di porte UDP/TCP.

La fonte del traffico proviene solitamente dall’estero (le fonti si trovano comunemente in Cina, Stati Uniti, Brasile, Russia e alcuni altri paesi).
Un fornitore di servizi può identificare e bloccare questo tipo di traffico dopo l’inizio dell’attacco DDoS, impedendo così al traffico di inondare il collegamento Internet del cliente. In scenari estremi, un fornitore di servizi può anche bloccare tutto il traffico tra la rete di destinazione e qualsiasi altro paese straniero. In questo caso i servizi pubblici di rete rimangono a disposizione degli utenti all’interno del Paese d’origine, mentre gli utenti di qualsiasi Paese straniero non possono accedervi. Una volta terminato l’attacco DDoS, il fornitore di servizi consente semplicemente di nuovo l’accesso globale alla rete del cliente e tutti i servizi sono nuovamente disponibili a tutti.

Come difendersi?

I più grandi attacchi DDoS – con dimensioni superiori a 1 Tb/s – possono generare più traffico di rete di quanto possano gestire i collegamenti di piccoli fornitori di servizi locali. Pertanto, il fornitore di servizi stesso è vittima di un attacco DDoS.

In questi casi abbiamo bisogno di una soluzione che comprende uno “scrubbing center”. Il compito dello scrubbing center è quello di filtrare il traffico verso la rete o l’applicazione di destinazione. Il centro blocca il traffico DDoS, mentre allo stesso tempo permette al traffico legittimo di passare in modo che i servizi di rete funzionino senza interruzioni. Il vantaggio principale dei centri di scrubbing rispetto ai fornitori di servizi locali è che i centri si collegano a collegamenti ad alta capacità (1 Tb/s o più) con i più grandi fornitori di servizi Internet globali (Tier-1).

L’esigenza di collegamenti ad alte prestazioni impone anche l’ubicazione geografica appropriata dei centri di scrubbing e, pertanto, essi sono solitamente situati vicino ai principali punti di scambio Internet globali. Un buon centro di scrubbing ha anche collegamenti ridondanti. Inoltre, è anche possibile concordare con il centro di scrubbing una logica che permetta di filtrare sempre il traffico o per eseguire questo su richiesta (in caso di attacco DDoS).

Come?

In genere, per instradare il nostro traffico sul uno scrubbing center vengono utilizzati i due metodi :

  • Protocollo Border Gateway Protocol (BGP)
  • Modifica del nome DNS di un servizio

Quando si utilizza il metodo BGP, lo scrubbing center pubblicizza i nostri prefissi di indirizzo IP pubblico. Tutto il traffico destinato ai nostri indirizzi IP pubblici (e servizi) raggiunge prima lo scrubbing center dove il traffico viene analizzato e bloccato, se necessario. Affinché il traffico filtrato raggiunga la nostra rete, dobbiamo stabilire una connessione logica di rete con il centro di scrubbing. Più comunemente, i tunnel GRE sono distribuiti tra i dispositivi del cliente e il centro di scrubbing, ma vengono utilizzate anche altre tecniche se supportate dal centro. Possiamo usare questo metodo solo se abbiamo uno spazio per l’indirizzi pubblici come una /24 o più grande.

Se vogliamo indirizzare il traffico sul centro di scrubbing – solo verso server specifici – possiamo farlo cambiando i record DNS. In questo caso, il centro funziona essenzialmente come server proxy.

E quindi?

Potete proteggere la vostra rete e i vostri servizi contro un attacco DDoS, ma non potete farlo da soli. I servizi dei centri di scrubbing sono in genere più costosi dei vostri fornitori di servizi locali, ma possono fornire una protezione efficiente anche in caso di attacchi DDoS di grandi dimensioni.

La migliore strategia di difesa DDoS dipende principalmente dai potenziali costi aziendali che possono derivare dall’indisponibilità dei vostri servizi. Forse a prima vista sembra meglio pagare il riscatto agli aggressori, ma in questo caso, quasi certamente sarete di nuovo attaccati.

Basta ricercare “internet scrubbing center” e il mondo si apre.