Cos’è la mitigazione DDoS?


Cos’è la mitigazione DDoS?

Un attacco DDoS (Distributed-Denial-of-Service) è una delle minacce più perniciose nel panorama delle minacce informatiche. Governi, multinazionali e reti private hanno ceduto tutti all’attacco DDoS. Ci sono innumerevoli modi in cui gli attacchi possono essere eseguiti. Peggio ancora, questi attacchi non richiedono necessariamente l’abilità degli esperti come hacker per eseguire.


L’obiettivo di qualsiasi organizzazione, indipendentemente dalle sue dimensioni, dovrebbe essere quello di ridurre la minaccia di questi attacchi. Come si può ottenere questo?

Strategie di mitigazione DDoS.

Per comprendere la mitigazione DDoS, bisogna prima capire l’attacco DDoS e le sue varianti. In poche parole; un attacco DDoS cerca di disabilitare una rete sovraccaricandola di traffico. Questo può assumere molte forme, a partire da pacchetti malformati che inondano a UDP protocollo, per inviare richieste HTTP parziali fino a quando il traffico legittimo non è più accessibile.

Ciò che rende DDoS l’attenuazione così difficile al giorno d’oggi è la complessità dell’attacco. In passato, gli attacchi DDoS avevano colpito solo i livelli superiori del modello OSI (Open Systems Interconnection). Tali livelli includevano i segmenti di trasporto e di rete. Ora, tuttavia, gli attacchi DDoS si sono evoluti in modo da poter colpire livelli più bassi (in particolare il livello dell’applicazione). Questo offre ai team blu di sicurezza informatica e sicurezza informatica (esperti orientati alla difesa) molto di più da considerare nelle loro strategie di mitigazione DDoS.

Esistono quattro componenti di base per ogni buona strategia di mitigazione DDoS. Questi componenti sono rivelazione, Reazione, Routing, e Adattamento. Entriamo in ciascuna di queste strategie di mitigazione in modo più approfondito.

rivelazione

La prima fase della strategia di mitigazione cerca di discernere quale traffico è legittimo e, al contrario, quale traffico è dannoso. Non si può avere una situazione in cui utenti innocui vengono bloccati da un sito Web per caso.

Questo può essere evitato mantenendo un registro costante di IP nella lista nera indirizzi. Mentre questo può ancora danneggiare gli utenti innocenti, come quelli che utilizzano IP proxy o TOR per sicurezza, è ancora un primo passo decente. Il blocco degli indirizzi IP è abbastanza semplice, ma è solo una parte della strategia di rilevamento.

Successivamente, nel rilevare un attacco DDoS, l’organizzazione deve conoscere quotidianamente il tipico flusso di traffico. Inoltre, aiuta ad avere una metrica nei giorni ad alto traffico, quindi c’è una misurazione di base. Ciò contribuirà a distinguere dall’afflusso di traffico anormalmente elevato rispetto all’esperienza passata con traffico “legittimamente” elevato.

Reazione

Se il rilevamento è solido, la reazione a un attacco DDoS in corso dovrebbe essere automatica. Ciò richiederà molto probabilmente un servizio di terze parti specializzato nella prevenzione DDoS. La configurazione manuale delle reazioni DDoS non è più consigliata. La ragione di ciò è che i criminali informatici sono diventati saggi rispetto a molte tecniche.

In una forte difesa DDoS, il passaggio di reazione inizierà immediatamente a bloccare il traffico dannoso. Si renderà conto che l’elevato flusso di traffico viene creato da dispositivi zombi su una botnet. Questo filtro dovrebbe iniziare a indebolire l’attacco. La risposta dipende dalle capacità del provider. Idealmente, il servizio di protezione utilizzerà una combinazione di tecniche nella sua metodologia. Oltre a quanto menzionato in precedenza Lista nera IP, ci dovrebbe essere la possibilità di ispezionare i pacchetti, oltre a impegnarsi nella limitazione della velocità.

Routing

Il routing assume il traffico rimanente che non è stato possibile gestire nella fase di reazione automatica. L’obiettivo è quello di interrompere il traffico e tenerlo lontano dai server di destinazione. Esistono due strategie di routing principali.

Il primo di questi è Routing DNS. Questo è veramente efficace solo con gli attacchi DDoS destinati al livello applicazione del modello OSI. Ciò significa che, anche se si maschera il tuo vero indirizzo IP, l’attacco continuerà comunque. Il routing DNS impone il reindirizzamento del traffico dannoso al servizio di protezione DDoS “sempre attivo”. Assumerà il carico dell’attacco, permettendo così solo al traffico legittimo di accedere al server. Questo viene fatto modificando il record CNAME e A. Il record A punta a un indirizzo IP specifico, mentre CNAME crea un alias per lo stesso indirizzo IP.

La seconda strategia di routing si chiama routing Border Gateway Protocol. Questa è una configurazione manuale che impone tutto il traffico dannoso, che ha come target il livello di rete, al tuo provider di mitigazione. Costringerà il traffico DDoS ad essere eliminato, almeno, per la maggior parte. Come accennato in precedenza, una configurazione manuale ha i suoi problemi. È più lento e, di conseguenza, può consentire al traffico dannoso di raggiungere il server di destinazione.

Adattamento

Questa è più o meno un’analisi post mortem di un attacco DDoS. È la parte della strategia di mitigazione che cerca di imparare cosa è stato fatto sia correttamente che in modo errato. Ciò significa analizzare la fonte dell’attacco, vedere cosa è stato permesso attraverso, provare ad accertare con quale rapidità si sono schierate le difese e, soprattutto, come prevenire questo attacco con un’efficacia del 100% in futuro.

La mitigazione DDoS è complicata. Poiché gli attacchi continuano a evolversi, la sicurezza informatica sarà, purtroppo, sempre un passo indietro. Non si può combattere un nemico; non capiscono ancora. Solo dopo un nuovo vettore di attacco è possibile costruire le difese. Tuttavia, l’implementazione di solide tecniche di mitigazione DDoS può far risparmiare alla tua organizzazione una grande quantità di tempo e denaro.

Ulteriori informazioni su DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map