Attacchi distribuiti: analisi e prevenzione

Gli attacchi distribuiti eseguiti per bloccare l'accesso ad un servizio (DDOS) sono un minaccia significante per la disponibilita di sistemi e reti di aziende. Negli ultimi 18 mesi, la stampa ha riportato che i DDoS di "alto livello" hanno portato costi per centinaia di migliaia di euro. Gli articoli pubblicati negli ultimi 18 mesi, hanno messo in evidenza il problema degli attacchi a server web. In ogni caso, la maggioranza delle aziende usa la stessa connettivita Internet sia per i servizi web che per le altre attivita lavorative, comprese le e-mail ed i servizi extranet, quindi, se un server web di un'azienda e sotto attacco tutta la connettivita su cui girano anche gli altri servizi sara persa o interessata da rallentamenti.

Gli attacchi distribuiti eseguiti per bloccare l’accesso ad un servizio (DDOS) sono un minaccia significante per la disponibilità di sistemi e reti di aziende.

Negli ultimi 18 mesi, la stampa ha riportato che i DDoS di “alto livello” hanno portato costi per centinaia di migliaia di euro.

Gli articoli pubblicati negli ultimi 18 mesi, hanno messo in evidenza il problema degli attacchi a server web. In ogni caso, la maggioranza delle aziende usa la stessa connettività Internet sia per i servizi web che per le altre attività lavorative, comprese le e-mail ed i servizi extranet, quindi, se un server web di un’azienda è sotto attacco tutta la connettività su cui girano anche gli altri servizi sarà persa o interessata da rallentamenti.

Diffusione dei DDoS

Gli strumenti necessari per compiere un attacco DDoS sono facilmente trovabili in rete e sono caratterizzati per la loro facilità di uso, quindi usabili anche senza conoscenze particolari. Gli attacchi distribuiti funzionano sfruttando un numero consistente di computer “zombie” per poter generare richieste o traffico maggiori rispetto ai limiti gestibili dagli apparati.

Chi compie l’attacco ottiene l’accesso a macchine remote installando delle backdoor; attraverso l’uso di questa tipologia di programmi i computer possono essere controllati centralmente. Ogni singolo client collegato a quella che si può definire “botnet” ha la capacità di inviare centinaia di richieste; di conseguenza con centinaia di zombie sarà possibile generare milioni di pacchetti.

Con un numero discreto di zombie anche il più grande sito web o collegamento Internet può essere messo “fuori uso”. Le aziende non possono fare nulla di concreto per proteggersi in modo autonomo se chi compie l’attacco è in grado di saturare la tratta Internet interessata. Chi può fare qualcosa di concreto è l’ISP della vittima, che può isolare le sorgenti del DDoS.

tutorial-ddos-img1.gif

Prevenzione

Ci sono molti tipi di misure preventive che le aziende possono attuare per difendersi dagli attacchi DDoS, le sorgenti dell’attacco usano spesso indirizzi IP costantemente camuffati che rende l’attacco di difficile individuazione e blocco. Determinare il traffico buono e quello “cattivo” è la parte più difficile, attualmente esistono soluzioni di mercato che filtrano o “sondano” il traffico per prevenire attacchi, questo approccio ha l’effetto o di permettere interamente il traffico verso una macchina o bloccarlo in modo assoluto.

Un apparecchio di questo genere crea, involontariamente, una negazione di servizio se è ideato per bloccare tutto il traffico sotto attacco.

Router “analizzatori”

I router collegati a tratte Internet possono essere configurati per “vagliare” i pacchetti prima di entrare nella rete aziendale. L’uso di questi screening router è comune nelle reti odierne ed è una tipica configurazione per prevenire attacchi DDoS con sorgente modificata (si veda RFC 2267).

L’utilità di questa configurazione è anche quella di evitare che le reti aziendali siano usate come sorgenti di attacchi. Questo è possibile filtrando i pacchetti in uscita, controllando che il loro IP sorgente sia presente nella sottorete pubblica e non uno “spoofato”. Un’altra utilità degli screening router è quella di limitare il numero di pacchetti SYN in uscita.

tutorial-ddos-img2.gif

Intrusion Detection Systems

Gli IDS (o sistemi per rilevare le intrusioni) possono essere utili per la prevenzione di attacchi DDoS. Possono essere configurati per seguire l’andamento del traffico normale e quindi per rilevare anomalie rispetto ai pacchetti comuni, diversi IDS hanno anche la possibilità di configurare i filtri di router o firewall appena rilevano un’anomalia. Poiché prima l’IDS deve rilevare l’anomalia e poi modificare la configurazione di apparecchiature di terze parti, servirà un po’ di tempo per vedere il risultato.

Questa soluzione viene considerata dannosa ed è un metodo molto dibattuto se usato in modo automatico. Può essere infatti causa di DoS autonomi se l’attaccante riesce a trovare il pattern su cui l’apparecchio si basa per configurare i filtri.

Firewall

I firewall possono essere usati in modo simile ai router per filtrare o “sondare” pacchetti TCP SYN. Solitamente però i primi non sono adatti quanto gli ultimi a compiere queste operazione. In ogni caso non si può fare affidamento unicamente ai firewall per difendersi da un attacco DDoS, infatti questa tipologia di apparecchi può provocare la completa non raggiungibilità di servizi o dell’intera rete anche da chi non effettua traffico “anomalo”.

Questo previene che l’attacco raggiunga le macchine e che le blocchi, ma rende irraggiungibili i servizi che ci girano.

tutorial-ddos-img3.gif

Soluzioni

Gli ISP sono la parte più adatta a coprire il ruolo di protezione dei loro clienti da attacchi DDoS ma solo alcuni si attivano in questo senso, quindi questo ruolo è spesso a carico delle società che per proteggersi da questi tipi di attacchi devono far uso di apparecchi dedicati. Un apparato di prevenzione DDoS ha la capacità di distinguere il traffico dell’attaccante e il traffico genuino, questo significa che sebbene la disponibilità possa essere ridotta, un attaccante avrà più difficoltà a impedire l’accesso ai normali utilizzatori del servizio, un’altra caratteristica importante per gli apparati che devono prevenire attacchi DDOS è la possibilità di prevenire DDoS in uscita.

Infatti un attaccante può richiedere delle pagine web da un server con piccoli pacchetti ma ricevere un grande numero di dati, il server web adibito a servire la richiesta avrà un grande carico in uscita, potenzialmente potrebbe portare alla saturazione della banda. Questa tipologia di attacco è difficile da prevenire perché non è facile individuare chi lo compie. In ogni caso nel mercato esistono prodotti che basandosi sul normale traffico riescono ad individuare queste situazioni per bloccare in origine l’attacco, questa tipologia di attacco, chiamata “page flood”, è sempre più usata come base di attacchi DDoS e le aziende dovrebbero adottare provvedimenti per proteggersi. La soluzione raccomandata è l’uso di apparecchiature dedicate pensate alla prevenzione/gestione di attacchi DDoS. È infatti sicuramente la soluzione che fa ottenere la migliore difesa.

tutorial-ddos-img4.gif

Requisiti degli apparati per la prevenzione

Le aziende in cerca di un prodotto per proteggersi contro gli attacchi dovrebbero accertarsi che la loro scelta supporti:

• Controllo delle opzioni IP per anomalie

• Controllo della sequenza TCP

• Validazione frammenti IP

• Blocco attacchi “Ping Of Death”

• Blocco “Land Attacks”

• Blocco attacchi diretti a broadcast (smurf)

• Blocco attacchi “ICMP backwash”

• Controllo per SYN flood

• Controllo di flood di connessioni

• Controllo di “page floods”

• Controllo di “ICMP floods”

• Controllo di “TCP floods”

• Controllo di “UDP floods”

• Controllo di altri tipi di IP floods

• Controllo floods basati sull’uso della banda in uscita

• Controllo floods basati sull’uso della banda in entrata

• Identificazione e classificazione degli attaccanti in base alla portata dell’attacco

• Gestione filtri per pacchetti in entrata

Ci sono molti prodotti sul mercato capaci di proteggere contro attacchi elencati sopra ma pochi sanno mantenere la disponibilità dei sistemi al traffico genuino, poiché lo scopo principale di prevenire è un DDoS è la disponibilità dei sistemi un prodotto che blocca tutto il traffico non ha nessuna utilità.

Un vantaggio di usare un prodotto dedicato alla gestione è che questo ultimo può proteggere contro un flood di traffico genuino. Siti di informazione, durante fatti mediatici, infatti ricevono un elevato traffico che può portare al blocco dei sistemi. Un sistema per l’individuazione dei DDoS potrebbe bloccare comunque parte del traffico normale permette però ai visitatori rimanenti di usufruire del servizio.