Gestire gli attacchi Distributed Denial of Service ( DDoS )
Gli attacchi di tipo Distributed Denial of Service ( DDoS ) sono tra i tipi più comuni di attacchi a Internet che il vostro sito web o host può subire.
Cosa è un attacco DDoS?
Un attacco distributed denial of service (DDoS) è un tentativo doloso di interrompere il traffico normale di un server, un servizio o una rete travolgendo la destinazione o la relativa infrastruttura circostante con una marea di traffico internet. Gli attacchi DDoS prendono efficacia utilizzando molti sistemi di computer compromessi come origini del traffico dell'attacco. Le macchine sfruttate possono includere computer o altre risorse di rete come i dispositivi IoT. Da un punto di vista generale, un attacco DDoS è come un ingorgo che intasa un'autostrada, impedendo al traffico regolare di arrivare a destinazione.
Funzionamento degli attacchi DDoS
Un aggressore acquisisce il controllo di una rete di macchine online per eseguire un attacco DDoS. I computer e le altre macchine (come i dispositivi IoT) sono infetti da malware, trasformando ognuno di essi in un bot (o zombie). L'aggressore controlla il gruppo di bot, che viene chiamato botnet.
Dopo aver stabilito una botnet, l'aggressore indirizza le macchine inviando istruzioni aggiornate ad ogni bot utilizzando il controllo remoto. Un indirizzo IP mirato può ricevere richieste da una moltitudine di bot, causando il superamento della capacità del server o della rete in questione. Questo overflow crea un denial-of-service al traffico normale. Poiché ogni bot è un dispositivo internet legittimo, la suddivisione del traffico dell'attacco dal normale può essere difficile.
Tipi comuni di attacco DDoS
I vettori di attacco DDoS riguardano vari componenti di una connessione di rete. Mentre quasi tutti gli attacchi DDoS implicano la sopraffazione di un dispositivo o una rete di destinazione, gli attacchi possono essere divisi in tre categorie. Un aggressore può utilizzare uno o più vettori di attacco e potrebbe anche passare da un vettore all'altro in base alle contromisure adottate dall'obiettivo.
I tipi comuni sono:
- Attacchi al livello dell'applicazione (livello 7)
- Attacchi protocollo (Livello 3 e Livello 4)
- Attacchi volumetrici (attacchi di amplificazione)
Attacchi al livello dell'applicazione
Un attacco di livello applicativo viene talvolta definito un attacco Layer-7 DDoS (in riferimento al livello 7th del modello OSI). L'obiettivo di questi attacchi è quello di esaurire le risorse della vittima, prendendo di mira il livello in cui le pagine Web vengono generate sul server e consegnate ai visitatori in risposta alle richieste di HTTP (il livello di applicazione). Gli attacchi di livello 7 sono impegnativi, perché è difficile identificare il traffico come doloso.
Attacchi al protocollo
Gli attacchi di protocollo sfruttano le debolezze dei livelli 3 e 4 dello stack di protocollo ISO per rendere inaccessibile l'obiettivo. Questi attacchi, noti anche come attacchi di state-exhaustion, causano un'interruzione del servizio consumando tutta la capacità della tabella di stato disponibile dei server delle applicazioni web o di risorse intermedie come firewall e bilanciatori di carico.
Attacchi volumetrici
Questa categoria di attacchi tenta di creare una congestione consumando tutta la larghezza di banda disponibile tra l'obiettivo e la rete Internet. Grandi quantità di dati vengono inviate a un obiettivo utilizzando una forma di amplificazione o altri mezzi per creare un traffico massiccio, come le richieste di una botnet.
Cosa posso fare se sono sotto un attacco DDoS?
- Attivare la "Modalità di difesa" dalla pagina Panoramica. Per ulteriori informazioni, vedere Modalità di difesa per gli attacchi DDoS.
- Impostate i vostri record DNS per la massima sicurezza.
- Non limitate la velocità o strozzate le richieste di IBM CIS, abbiamo bisogno della larghezza di banda per assistervi nella vostra situazione.
- Bloccare paesi e visitatori specifici, se necessario.