Rodolfo D’Agostino, Senior Solutions Engineer, Akamai individua alcune strategie per la mitigazione degli attacchi DDoS
Gli attacchi DDoS sono impegnativi da fronteggiare per ampiezza e varietà: proprio per questo, non esiste una modalità univoca di contrasto. Tuttavia, sebbene ogni attacco DDoS richieda un’analisi e un piano di azione specifici, esistono alcune strategie globali che possono essere utili. Come per la sicurezza delle reti in generale, una protezione efficace contro gli attacchi DDoS è virtualmente impossibile tramite soluzioni centralizzate tradizionali, pertanto, una difesa basata sul cloud risulta fondamentale. Rodolfo D’Agostino, Senior Solutions Engineer di Akamai Technologies, Inc., individua una serie di strategie per ridurre al minimo i rischi e l’impatto degli attacchi DDoS sull’infrastruttura dell’azienda.
Offload dell’origine
L’offload delle funzioni dell’infrastruttura di origine centralizzata su una piattaforma cloud altamente distribuita rappresenta un importante punto di partenza per la protezione dagli attacchi DDoS. Maggiore è l’offload sul cloud, più sarà scalabile e potente l’intero sistema.
Una rete altamente distribuita a livello globale, come la Intelligent Platform di Akamai, è utile per resistere agli attacchi DDoS che portano i livelli di traffico a valori centinaia di volte più elevati del normale e fa sì che il traffico dell’attacco non influisca negativamente sulle performance del sito web.
Mascherare l’origine
Un modo per proteggere ulteriormente i server di origine core di un sito è quello di nasconderli alla rete Internet pubblica. Mascherando l’origine, vengono ridotti i rischi associati alle minacce a livello di rete – rivolte direttamente al server di origine – come ad esempio gli attacchi che portano all’esaurimento delle risorse (Slowloris e SYN flood) ma anche gli exploit dei protocolli TCP e SSL, come gli attacchi TearDrop e Christmas Tree che utilizzano pacchetti non validi per causare attacchi DoS (Denial of Service).
Protezione del DNS
La protezione del DNS (Domain Name System) rappresenta un altro importante livello di difesa. L’infrastruttura DNS è fondamentale per le operazioni dei siti, poiché converte i nomi host Web in indirizzi IP veri e propri necessari per reperire un sito. Nonostante la sua importanza, l’infrastruttura DNS è spesso l’anello debole dell’architettura Web di un’organizzazione. Molte aziende fanno affidamento solo su due o tre server DNS, creando così una situazione di elevata vulnerabilità agli attacchi DDoS.
Potente Failover
Nonostante una rete distribuita fornisca un notevole livello di protezione assorbendo il traffico DDoS, attacchi più sofisticati possono ancora sopraffare il server delle applicazioni o il database di un sito. Un valido piano di failover può ridurre al minimo l’impatto sull’azienda.
Se il server di origine subisce un’interruzione, un failover intelligente ne garantisce la continuità, indirizzando ad esempio gli utenti a una sala d’attesa virtuale o a un sito alternativo con funzionalità ridotte oppure fornendo loro una pagina di cortesia personalizzata o un contenuto memorizzato nella cache. Questa soluzione è percorribile in diversi modi: per esempio, utilizzando soluzioni che controllino lo stato di integrità del server di applicazioni, regolando il carico in ingresso quando necessario e reindirizzando gli utenti in eccesso a contenuti alternativi memorizzati nella cache. Ciò impedisce la completa interruzione di un sito, conserva l’integrità del server di origine e, mantenendo i visitatori impegnati, riduce al minimo le perdite di introiti e il danno alla reputazione del marchio.
È infatti più probabile che rimangano sul sito – e che portino a termine una transazione – gli utenti reindirizzati a contenuti alternativi, piuttosto che quelli che hanno dovuto affrontare l’arresto anomalo di una pagina web.
Tecniche di edge mirate
Data la natura molto diversa degli attacchi DDoS, non esiste alcuna strategia di mitigazione universale. Le capacità di difesa variano in base alla natura dell’attacco e ai requisiti dell’azienda per il sito o l’applicazione assediata e potrebbero cambiare nel corso dell’attacco stesso o dell’analisi corrispondente.
Uno dei punti di forza fondamentali di un’architettura altamente distribuita basata sul cloud è la possibilità di ripartire, in modo rapido e flessibile, funzionalità di difesa ben mirate ai margini di Internet, troncando gli attacchi in prossimità della fonte, in modo altamente scalabile: le diverse strategie di mitigazione possono infatti evolvere in tempo reale in risposta a un attacco.
La possibilità di attivare o disattivare le funzionalità o di riconfigurarle in modo dinamico migliora sensibilmente l’efficacia delle strategie e consente alle aziende di trarre vantaggio da costi operativi inferiori e da pianificazioni più semplici. Inoltre, distribuendo le misure di difesa ai margini di Internet, le aziende sono messe nella condizione di mantenere il livello di prestazioni, scalabilità e tolleranza di errore di cui necessitano.