DDoS (Distributed denial-of-service)

Cos'è un attacco DDoS?

Un attacco DDoS (distributed denial-of-service) è un tentativo malevolo di interrompere il normale traffico di uno specifico server, servizio o rete, inondando la destinazione o la sua infrastruttura circostante con un enorme flusso di traffico internet. Gli attacchi DDoS raggiungono l'efficacia utilizzando più sistemi di computer compromessi come origini di traffico malevolo. Le macchine influenzate possono includere computer e altre risorse in rete, come ad esempio i dispositivi IoT. Per fare un esempio, un attacco DDoS è come un ingorgo stradale che intasa un'autostrada, impedendo al traffico regolare di arrivare alla destinazione desiderata.

Come funziona un attacco DDoS?

Un attacco DDoS richiede che un aggressore ottenga il controllo di una rete di macchine online per effettuare un attacco. I computer e altre macchine (come ad esempio i dispositivi IoT) sono infettati da malware, trasformando ognuno in un bot (o zombie). L'aggressore ha poi il controllo remoto sul gruppo di bot, che viene detto botnet.

Una volta che una botnet è stata stabilita, l'aggressore è in grado di dirigere le macchine inviando istruzioni aggiornate a ogni bot tramite un metodo di controllo remoto. Quando l'indirizzo IP di una vittima viene preso di mira dalla botnet, ogni bot risponderà inviando richieste alla destinazione, causando un potenziale sovraccarico di capacità sul server o rete specifici, con conseguente negazione del servizio per il traffico regolare. Poiché ogni bot è un dispositivo internet legittimo, la distinzione tra traffico malevolo e traffico regolare può essere difficile.

Quali sono i tipi comuni di attacchi DDoS?

Vettori d'attacco DDoS differenti influenzano vari componenti di una connessione di rete. Per capire come funzionano i diversi attacchi DDoS, è necessario sapere come viene effettuata una connessione di rete. Una connessione di rete su internet è composta da varie componenti diverse o "livelli". Così come una casa, che viene costruita dal basso verso l'alto, ogni passo nel modello ha uno scopo differente. Il modello OSI è un framework concettuale utilizzato per descrivere la connettività di rete in sette livelli distinti.

Qual è il processo per mitigare un attacco DDoS?

Ulteriori informazioni su DDoS

Quasi tutti gli attacchi DDoS comportano un sovraccarico di traffico su un dispositivo o rete di destinazione, ma possono essere suddivisi in tre categorie. Un aggressore può utilizzare uno o più vettori di attacco diversi, o potenzialmente rendere ciclici i vettori di attacco in base alle contromisure adottate dalla destinazione.
In internet, oggi, il traffico DDoS si presenta in molte forme. Il traffico può variare nel design da attacchi non contraffatti a una sola origine ad attacchi a più vettori complessi e adattabili. Un attacco DDoS a più vettori utilizza più percorsi d'attacco per inondare di traffico una destinazione in modi diversi, potenzialmente distraendo gli sforzi di mitigazione su una traiettoria. Un esempio di attacco DDoS a più vettori è un attacco che colpisce più livelli dello stack di protocollo allo stesso tempo, come ad esempio un'amplificazione DNS (livelli di destinazione 3 e 4) insieme a un flusso HTTP abnorme (livello di destinazione 7).
Per ridurre l'effetto di un attacco DDoS multi-vettore serve applicare varie strategie per contrastare le diverse traiettorie. Generalmente parlando, più complesso è l'attacco, più è probabile che sia difficile separare il traffico dannoso da quello regolare - l'obiettivo dell'aggressore è quello di "mescolarsi" il più possibile, rendendo la mitigazione inefficiente. I tentativi di mitigazione che implicano la riduzione o la limitazione indiscriminata del traffico possono causare l'eliminazione del traffico regolare insieme a quello dannoso, e l'attacco può anche modificarsi e adattarsi per eludere le contromisure. Al fine di superare un complesso tentativo di interruzione, una soluzione a livelli dà maggiori vantaggi.

WAF (Web application firewall)

Cos'è un WAF (web application firewall)?

Un WAF (web application firewall) aiuta a proteggere le applicazioni web filtrando e monitorando il traffico HTTP tra un'applicazione web e Internet. Generalmente protegge le applicazioni web da attacchi di tipo CRSF (Cross-site request forgery), XSS (cross-site scripting), inclusione file e SQL injection, tra gli altri. Un WAF è una difesa del protocollo a livello 7 (nel modello OSI), e non è progettato per difendersi da tutti i tipi di attacchi. Questo metodo di mitigazione degli attacchi di solito fa parte di una suite di strumenti che insieme creano una difesa olistica contro una gamma di vettori d'attacco.

Mediante la distribuzione di un WAF a protezione di un'applicazione web, si alza uno scudo tra l'applicazione web e Internet. Mentre un server proxy protegge l'identità di una macchina client utilizzando un intermediario, un WAF è un tipo di proxy inverso, che protegge il server dall'esposizione poiché i client devono superare il WAF prima di raggiungere il server.

Un WAF opera attraverso una serie di regole spesso denominate politiche. Queste politiche mirano a proteggere contro le vulnerabilità all'interno dell'applicazione, eliminando il traffico malevolo. Il valore di un WAF deriva in parte dalla velocità e dalla facilità con cui può essere implementata la modifica della politica, consentendo una risposta più veloce ai diversi vettori d'attacco; durante un attacco DDoS, la limitazione della velocità può essere implementata rapidamente modificando le politiche WAF.

Qual è la differenza tra WAF blacklist e whitelist?

Ulteriori informazioni su WAF

Un WAF che opera sulla base di una blacklist (modello di sicurezza negativo) protegge contro gli attacchi noti. Si può definire un WAF blacklist come un buttafuori di un club, istruito a rifiutare l'ingresso a qualsiasi ospite che non rispetti il codice di abbigliamento. Viceversa, un WAF basato su una whitelist (modello di sicurezza positivo) ammette solo il traffico che è stato preapprovato. È come un buttafuori a una festa esclusiva; farà entrare solo le persone che sono sulla lista. Sia le blacklist che le whitelist hanno i loro vantaggi e svantaggi, e questo è il motivo per cui molti WAF offrono un modello di sicurezza ibrido, che implementa entrambe.

CDN (Content delivery network)

Cos'è una CDN (content delivery network)?

Una CDN (content delivery network) si riferisce ad un gruppo di server distribuiti geograficamente che lavorano insieme per fornire consegna veloce del contenuto internet. Una CDN consente il trasferimento rapido di asset necessari per caricare contenuti internet, incluse le pagine HTML, i file JavaScript, i fogli di stile, le immagini e i video. La popolarità dei servizi CDN continua a crescere, e oggi la maggior parte del traffico web è servita tramite le CDN.

Come funziona una CDN?

Alla base, una CDN è una rete di server collegati tra loro con l'obiettivo di consegnare contenuti nel modo più veloce, economico, affidabile e sicuro possibile. Al fine di migliorare la velocità e la connettività, una CDN posizionerà i server ai punti di scambio tra reti differenti. Questi punti di scambio internet (o IXP-internet exchange point) sono le principali ubicazioni alle quali i diversi provider internet si collegano per fornire l'uno all'altro l'accesso al traffico proveniente dalle diverse reti. Con una connessione a queste ubicazioni ad alta velocità e fortemente interconnesse, un provider di CDN è in grado di ridurre i costi e i tempi di transito nella consegna dei dati ad alta velocità.

In che modo una CDN migliora i tempi di caricamento del sito web?

Ulteriori informazioni sulla CDN

Quando i siti web caricano i contenuti, gli utenti si allontanano rapidamente quando il sito rallenta. Poiché una CDN è distribuita globalmente, viene ridotta la distanza tra gli utenti e le risorse del sito web. Invece di doversi connettere a una determinata ubicazione in cui può trovarsi il server di origine di un sito web, una CDN consente agli utenti di connettersi ad un data center geograficamente più vicino. Una distanza ridotta porta a un servizio più veloce.

DNS (Domain Name System)

Cos'è il DNS?

Il DNS (Domain Name System) è l'elenco telefonico di internet. Le persone accedono alle informazioni online attraverso i nomi dominio, ad esempio nytimes.com o espn.com. I browser Web interagiscono tramite gli indirizzi IP (Internet Protocol). Il DNS converte i nomi dominio in indirizzi IP in modo che i browser possano caricare le risorse internet.

Ogni dispositivo connesso a internet ha un indirizzo IP univoco, che altre macchine usano per trovare il dispositivo. I server DNS eliminano la necessità di memorizzare gli indirizzi IP come 192.168.1.1 (in IPv4), o i nuovi indirizzi IP alfanumerici più complessi come 2400:cb00:2048:1:c629:d7a2 (in IPv6).

Come funziona il DNS?

Il processo di risoluzione DNS implica la conversione di un nome host (ad esempio www.ibm.com) in un indirizzo IP compatibile con il computer (ad esempio 192.168.1.1). A ogni dispositivo su internet viene dato un indirizzo IP, e tale indirizzo è necessario per trovare il dispositivo internet appropriato - esattamente come si utilizza il nome della strada per trovare una specifica abitazione. Quando un utente carica una pagina web, deve verificarsi la conversione di ciò che digita nel browser web (example.com) nell'indirizzo compatibile con la macchina, necessario per localizzare la pagina web example.com.

Per capire il processo dietro la risoluzione DNS, è importante conoscere i diversi componenti hardware attraverso cui deve passare una query DNS. Per il browser web, la ricerca DNS si verifica "dietro le quinte" e non richiede alcuna interazione dal computer dell'utente oltre la richiesta iniziale.

Cos'è un resolver DNS?

Ulteriori informazioni sul DNS

Il resolver DNS è la prima tappa nella ricerca DNS, ed è il responsabile dell'interazione con il client che ha effettuato la richiesta iniziale. Il resolver avvia la sequenza di query che alla fine porta ad un URL convertito nell'indirizzo IP necessario.
Nota: Una tipica ricerca DNS non memorizzata in cache coinvolge sia le query ricorsive che quelle iterative.

È importante distinguere tra una query DNS ricorsiva e un resolver DNS ricorsivo. La query si riferisce alla richiesta fatta a un resolver DNS che richiede la risoluzione della query. Un resolver ricorsivo DNS è il computer che accetta una query ricorsiva e elabora la risposta effettuando le richieste necessarie.

Inizia subito

Pronto per iniziare? Con il nostro portale e l'API, ti bastano solo pochi clic per ottenere un internet più veloce e più sicuro.