Guide & TutorialLe dritte dal Datacenter

Attacchi DDoS: cosa sono e perché non si bloccano con 1 click

Alcune settimane fa abbiamo parlato di attacchi DDoS in aumento, e i fatti hanno testimoniato la veridicità delle nostre parole. Sono momenti difficili per molti provider di servizi hosting, operatori telefonici e publiche amministrazioni, realtà finite al centro del mirino del cyber terrorismo.

Ripetuti attacchi, sempre più sofisticati e difficili da debellare. Un vero e proprio flagello per la sicurezza informatica.

Chi c’è dietro questa inarrestabile serie di attacchi? L’idea è che questi “assalti informatici” siano messi in atto da un gruppo ben organizzato che opera con un solo obiettivo: provocare caos a fini di lucro. Gli attacchi degli ultimi mesi hanno provocato perdite economiche notevoli alle aziende prese di mira, con danni considerevoli anche per milioni di utenti che lavorano giornalmente sul web.

In una situazione del genere, vi sono tanti quesiti a cui bisogna dare una risposta. Nel corso di questi momenti assai concitati in cui ci si trova sotto attacco, c’è una domanda in particolare che merita una risposta approfondita:

“Entro quanto tempo il problema verrà definitivamente risolto?”

Ci piacerebbe poter rispondere affermando che queste problematiche possono essere risolte nel giro di pochi secondi, ma purtroppo non è così semplice. Nel caso di attacchi DDoS non è possibile individuare delle tempistiche massime o certe di risoluzione, in conseguenza di fattori e cause che andremo ora ad analizzare.

Il nostro intento è dare al pubblico dei rudimenti base per far comprendere come la questione sia più complessa di quanto possa apparire a primo acchito. Cercheremo di far luce su alcuni aspetti chiave riguardante gli attacchi DDoS in modo semplice e chiaro, per permettere anche a chi non fa parte del settore di poter comprendere quali sono le cause di eventuali disservizi rilevati in prima persona.

Cosa sono gli attacchi DDoS

Prima di aggiungere qualsiasi cosa sull’argomento, iniziamo ad addentrarci all’interno della problematica definita attacco DDoS ragionando in particolar modo su come esso venga effettivamente generato. Così facendo, sarà molto più semplice comprendere alcuni passaggi chiave.

Per saperne di più, inizia ad avere le idee chiare sulla definizione di attacco DDoS.

Gli attacchi DDoS ricadono generalmente in una delle seguenti categorie:

  • Attacchi DDoS volumetrici: tipo di attacco che punta a consumare la banda disponibile all’interno della rete o del servizio colpito, o tra questi e il resto di internet.
  • Attacchi DDoS a esaurimento di stato TCP: questo tipo di attacco DDoS tenta di consumare le tabelle dello stato di connessione presenti all’interno di molti componenti infrastrutturali come load balancer, firewall e gli stessi server applicativi.
  • Attacchi DDoS diretti contro il layer applicativo: attacchi lenti e poco appariscenti, possono rivelarsi molto efficaci anche a fronte di un’unica macchina attaccante che generi un volume ridotto di traffico, caratteristiche che li rendono assai difficili da rilevare e mitigare.

Quando un host o network é sotto attacco (tramite i vari metodi elencati in modo poco esaustivo su WikiPedia), le infrastrutture protette da sistemi anti DDoS, come prima operazione, rilevano un’anomalia tramite il superamento di soglie pre-impostate e tarate periodicamente.

Una volta scattato l’allarme a causa dell’individuazione di un possibile attacco su un host, il sistema instrada tutto il traffico destinato allo stesso su dei sistemi denominati Scrubbing Center che lo analizzano pacchetto per pacchetto, con lo scopo di individuare il traffico malevolo. Quello che si cerca di fare in questa fase è scartare il traffico pericoloso e instradare verso la destinazione solo quello ritenuto pulito e legittimo. Questo processo viene chiamato Mitigazione.

Attacchi DDoS, dare risposta alle domande più frequenti

Essendo una delle problematiche più fastidiose tra quelle che possono accadere online, comprendiamo perfettamente il malumore degli utenti che percepiscono dei disservizi nei momenti in cui giungono questi attacchi.

Riteniamo dunque opportuno informare il pubblico dando una risposta a quelli che sono i quesiti più comuni sull’argomento.

Se esiste una soluzione al problema, perchè i servizi possono essere ugualmente irraggiungibili o lenti nel caso in cui un host è sotto attacco?

Il primo problema é che non sempre l’attacco è “conosciuto” ai sistemi di anti DDoS. Quando si manifesta questa evenienza i tecnici del network, in collaborazione con i tecnici dei sistemi anti DDoS, tentano di individuare il tipo di attacco e cercare poi una soluzione per mitigarlo. Questo processo richiede ovviamente del tempo: si va alla ricerca di un “punto comune” tra i vari pacchetti (fingerprint), in modo da “insegnare” allo scrubbing center come rilevarli e bloccarli.

Ma non finisce qui.

Attualmente, l’arsenale a disposizione di questi gruppi di hacker è tanto ampio ed esteso da permettere loro di “provare” decine di tipi di attacchi diversi, sempre più complessi, che devono essere sistematicamente gestiti e “insegnati” ai sistemi di scrubbing con tecniche automatizzate o manuali, con inevitabili prolungamenti dei tempi di risoluzione.

Un volta rilevati tutti i tipi ti attacchi, il sito risulterà finalmente raggiungibile ma potrebbe ugualmente continuare ad essere lento: perché?

A questo punto il motivo è da ricercare nel sistema di mitigazione. Quando un pacchetto destinato a un host sotto attacco transita attraverso i sistemi di mitigazione, effettua un percorso più lungo e “tormentato” (il pacchetto deve essere analizzato dallo scrubbing center, come puoi vedere nell’immagine sopra).

Questo processo, inoltre, per quanto possa essere ottimizzato (a prescindere da chi è il fornitore della tecnologia di protezione) impiega del tempo e aumenta le latenze di risposta dei servizi. Inoltre, potrebbe generare dei falsi positivi e quindi non permettere di raggiungere l’host di destinazione.

Volendo semplificare, possiamo dire che questo è uno dei motivi del rallentamento che si avverte e che tanto malumore provoca.

La domanda di tutte le domande: esiste una soluzione definitiva che permetta di essere online il 100% del tempo?

La risposta è attualmente no. Social network come Facebook o WhatsApp e operatori come Vodafone, visti i recenti eventi, sono l’esempio di come, purtroppo, l’investimento di milioni di euro in termini di sicurezza a volte non sia sufficiente a evitare irraggiungibilità o rallentamento dei servizi.

In ambienti critici ci sono infatti migliaia di problematiche da affrontare giorno per giorno e non tutto può essere sempre previsto o programmato a priori.

Il ruolo di Keliweb

Bisogna dunque alzare “bandiera bianca” e rassegnarsi ai disservizi che, inevitabilmente, andranno a disturbare l’attività online nei casi di attacchi DDoS? Per niente, anzi.

Seppur sia impossibile garantire la continuità dei serivizi in ogni momento (in particolare nei casi di attacchi massicci), avvicinarsi al fatidico 100% è possibile.

Chiunque decida di operare sul web per fare business deve far fronte a diversi tipi di problematiche, decidere come gestirle e quanto investire su ognuno di esse.

Keliweb offre ai clienti con e-commerce di successo, blog/giornali online con un elevato numero di visite e che utilizzano le e-mail come strumento vitale per il proprio business, la ridondanza di infrastruttura tra 2 o più Datacenter sparsi nel mondo per replicare i servizi ed eliminare il “single failure point”. Queste soluzioni garantiscono ai clienti di rimanere online e con i servizi funzionanti anche qualora su uno dei Datacenter intercorra qualche problema di irraggiungibilità.

Keliweb fornisce, già da tempo, ai suoi clienti business soluzioni multi-datacenter per la posta, servizi web e backup, in modo da poter garantire alle loro attività la business continuity di cui hanno bisogno.

Gli imprevisti di un lungo viaggio

Essere online senza interruzioni di servizio non è utopia, ma il più delle volte una semplice questione di accortezza. Bisogna infatti avere a disposizione tutti gli strumenti necessari per contrastare certe situazioni, per poter così affrontare le problematiche descritte in precedenza nel modo migliore.

Volendo entrare nel “magico mondo” delle metafore (storicamente indispensabili per far comprendere concetti e situazioni), potremmo definire la gestione di un business online come un viaggio e gli attacchi DDoS come i più classici “incidenti di percorso”.

Immagina di spostarti in auto da Roma a Milano, magari per un appuntamento di lavoro vitale per il futuro del tuo business. Mentre stai percorrendo la strada, ecco l’imprevisto: hai forato una gomma e, visto che piove sempre sul bagnato, ti rendi conto di essere senza ruota di scorta. Ti sei dimenticato di controllare se ne eri provvisto.

Cosa fare in una situazione del genere? La prima reazione, che potremmo definire naturale (e che comprendiamo appieno) è prendersela con il produttore dello pneumatico. Una reazione viscerale, perfettamente comprensibile. Analizzando bene il caso, però, ci si rende conto del fatto che non si è avuta l’accortezza di controllare l’eventuale presenza della ruota di scorta nell’auto.

Certo, alla fine arriverai all’appuntamento, ma comunque ci vorrà del tempo per sistemare l’inconveniente che, a ben vedere, si sarebbe potuto evitare con un briciolo di accortezza in più.

Ecco, durante un problema tecnico succede pressappoco la stessa cosa. I clienti che hanno valutato l’evenienza si rimettono in carreggiata in poco tempo mentre gli altri devono attendere che la problematica venga gestita e risolta, tenendo in considerazione tutto quello descritto in precedenza.

Per concludere

Negli ultimi mesi il nostro Team Tecnico ha lavorato costantemente per garantire un livello di protezione simile anche ai clienti possessori di piani di hosting condiviso, sviluppando soluzioni multi-datacenter più economiche, che garantiscono la facilità di utilizzo e vengono incontro ai clienti più esigenti con minore budget.

Se per la tua attività web è assolutamente vitale essere sempre e comunque raggiungibile contatta un nostro account manager, svilupperemo delle proposte su misura per trovare la soluzione più adatta alle esigenze del tuo business.

Lascia un commento

Back to top button