ROUTECH spiega: come funziona la protezione DDoS

Routech.ro explică: Cum funcționează protecția DDoS
⏱️ 9 min read

Nel corso degli anni, il DDoS (Distributed Denial of Service) è stato un modo altamente affidabile per assicurarsi che un servizio ospitato (come un sito Web o alcuni servizi come PlayStation Network) non vede la luce del giorno almeno per un po ‘.

Il potere esercitato da questi attacchi incuriosisce le persone sui meccanismi che stanno dietro di loro, motivo per cui ci siamo presi il tempo di spiegare come funzionano e ci siamo persino spinti a dimostrare quanto enormi possano essere alcuni di questi attacchi, al punto che uno di loro può persino eliminare interi settori di Internet per milioni di persone. Tuttavia, vi è una scarsa quantità di discussioni pubbliche su come funziona la contromisura (ad es. Protezione DDoS).

Il problema con la discussione sulla protezione DDoS

Internet è una vasta gamma di reti connesse attraverso un enorme vuoto disordinato. Ci sono trilioni di piccoli pacchetti che viaggiano quasi alla velocità della luce ovunque nel mondo. Per dare un senso al suo funzionamento interno disorientante e misterioso, Internet è diviso in gruppi. Questi gruppi sono spesso suddivisi in sottogruppi e così via.

Questo in realtà rende la discussione sulla protezione DDoS un po ‘complicata. Il modo in cui un computer di casa si protegge dagli attacchi DDoS è simile e leggermente diverso dal modo in cui lo fa un data center di un’azienda multimilionaria. E non abbiamo ancora raggiunto i provider di servizi Internet (ISP). Esistono tanti modi per classificare la protezione DDoS quanti sono i vari elementi che compongono Internet con i suoi miliardi di connessioni, i suoi cluster, i suoi scambi continentali e le sue sottoreti.

Detto questo, proviamo un approccio chirurgico che tocchi tutti i dettagli rilevanti e importanti della questione.

Il principio alla base della protezione DDoS

Se stai leggendo questo senza una chiara conoscenza di come funziona DDoS, ti suggerisco di leggere la spiegazione che ho collegato in precedenza, altrimenti potrebbe diventare un po ‘opprimente. Ci sono due cose che puoi fare a un pacchetto in arrivo: puoi entrambe ignoralo o reindirizzarlo. Non puoi semplicemente impedirgli di arrivare perché non hai il controllo sulla fonte del pacchetto. È già qui e il tuo software vuole sapere cosa farne.

Questa è una verità universale a cui tutti ci atteniamo e include gli ISP che ci connettono a Internet. È per questo che così tanti attacchi hanno successo: poiché non puoi controllare il comportamento della fonte, la fonte può inviarti abbastanza pacchetti da sovraccaricare la tua connessione.

Come lo fanno software e router (sistemi domestici)

ddosprotection-router

Se esegui un firewall sul tuo computer o il tuo router ne ha uno, di solito sei bloccato seguendo un principio di base: se il traffico DDoS arriva volando, il software crea un elenco di IP che stanno entrando con traffico illegittimo.

Lo fa notando quando qualcosa ti invia un mucchio di dati spazzatura o richieste di connessione a una frequenza innaturale, come più di cinquanta volte al secondo. Quindi blocca tutte le transazioni provenienti da quella fonte. Bloccandoli il tuo computer non dovrà spendere risorse extra per interpretare i dati contenuti all’interno. Il messaggio semplicemente non arriva a destinazione. Se sei bloccato dal firewall di un computer e provi a connetterti ad esso, otterrai un timeout di connessione perché qualsiasi cosa invii verrebbe semplicemente ignorata.

Questo è un ottimo modo per proteggersi dagli attacchi DoS (Denial of Service) a IP singolo poiché l’attaccante vedrà un timeout della connessione ogni volta che effettua il check-in per vedere se il proprio lavoro sta facendo progressi. Con un Denial of Service distribuito, questo funziona perché tutti i dati provenienti dagli IP attaccanti verranno ignorati.

C’è un problema con questo schema.

Nel mondo di Internet, non esiste il “blocco passivo”. Hai bisogno di risorse anche quando ignori un pacchetto che ti viene incontro. Se stai usando un software, il punto di attacco si ferma al tuo computer ma continua a passare attraverso il router come un proiettile attraverso la carta. Ciò significa che il tuo router sta lavorando instancabilmente per instradare tutti i pacchetti illegittimi nella tua direzione.

Se stai usando il firewall del router, tutto si ferma qui. Ma ciò significa comunque che il tuo router sta scansionando l’origine di ogni pacchetto e quindi iterando l’elenco degli IP bloccati per vedere se deve essere ignorato o consentito.

Ora, immagina che il tuo router debba fare ciò che ho appena menzionato milioni di volte al secondo. Il tuo router ha una quantità limitata di potenza di elaborazione. Una volta raggiunto tale limite, avrà problemi a dare la priorità al traffico legittimo, indipendentemente dai metodi avanzati che utilizza.

Mettiamo tutto da parte per discutere di un altro problema. Supponendo che tu abbia un router magico con una quantità infinita di potenza di elaborazione, il tuo ISP ti fornisce ancora una quantità limitata di larghezza di banda. Una volta raggiunto il limite di larghezza di banda, farai fatica a portare a termine anche le attività più semplici sul Web.

Quindi la soluzione definitiva al DDoS è avere una quantità infinita di potenza di elaborazione e una quantità infinita di larghezza di banda. Se qualcuno scopre come riuscirci, siamo d’oro!

Come le grandi aziende gestiscono i loro carichi

ddosprotection-datacenter

La bellezza del modo in cui le aziende gestiscono gli attacchi DDoS risiede nella sua eleganza: utilizzano le infrastrutture esistenti per contrastare le minacce che si presentano. Di solito, questo viene fatto tramite un bilanciatore del carico, una rete di distribuzione dei contenuti (CDN) o una combinazione di entrambi. I siti Web e i servizi più piccoli potrebbero affidarli a terzi se non hanno il capitale per mantenere una così vasta gamma di server.

Con un CDN, il contenuto di un sito Web viene copiato su una vasta rete di server distribuiti in molte aree geografiche. In questo modo il sito Web si carica rapidamente indipendentemente da dove ti trovi nel mondo quando ti connetti.

I bilanciatori del carico completano questo ridistribuendo i dati e catalogandoli in diversi server, dando priorità al traffico in base al tipo di server più adatto per il lavoro. I server a larghezza di banda inferiore con dischi rigidi di grandi dimensioni possono gestire grandi quantità di file di piccole dimensioni. I server con connessioni a larghezza di banda enormi possono gestire lo streaming di file più grandi. (Pensa a “YouTube”.)

Ed ecco come funziona

Vedi dove sto andando con questo? Se un attacco atterra su un server, il sistema di bilanciamento del carico può tenere traccia del DDoS e lasciare che continui a colpire quel server reindirizzando tutto il traffico legittimo altrove sulla rete. L’idea qui è quella di utilizzare una rete decentralizzata a proprio vantaggio, allocando le risorse dove sono necessarie in modo che il sito Web o il servizio possa continuare a funzionare mentre l’attacco è diretto a un “richiamo”. Abbastanza intelligente, eh?

Poiché la rete è decentralizzata, ottiene un vantaggio significativo rispetto ai semplici firewall e a qualsiasi protezione offerta dalla maggior parte dei router. Il problema qui è che hai bisogno di molti soldi per avviare la tua attività. Mentre stanno crescendo, le aziende possono fare affidamento su fornitori specializzati più grandi per fornire loro la protezione di cui hanno bisogno.

Come lo fanno i Behemoth

ddosprotection-fibra

Abbiamo visitato piccole reti domestiche e ci siamo persino avventurati nel regno delle mega corporazioni. È giunto il momento di entrare nella fase finale di questa ricerca: vedremo come le stesse aziende che ti danno una connessione Internet si proteggono dal cadere in un abisso oscuro. Questo sta per diventare un po ‘complicato, ma cercherò di essere il più conciso possibile senza una tesi sbavante sui vari metodi di protezione DDoS.

Gli ISP hanno i propri modi unici di gestire le fluttuazioni del traffico. La maggior parte degli attacchi DDoS si registra a malapena sui radar poiché hanno accesso a una quantità quasi illimitata di larghezza di banda. Il loro traffico giornaliero dalle 19:00 alle 23:00 (noto anche come “ora di punta di Internet”) raggiunge livelli che superano di gran lunga la larghezza di banda che otterresti da un flusso DDoS medio.

Naturalmente, poiché si tratta di Internet di cui stiamo parlando, ci sono (e sono state spesso) occasioni in cui il traffico diventa qualcosa di molto più di un blip sul radar.

Questi attacchi arrivano con venti di burrasca e tentano di sopraffare l’infrastruttura degli ISP più piccoli. Quando il tuo fornitore alza le sopracciglia, raggiunge rapidamente un arsenale di strumenti a sua disposizione per combattere questa minaccia. Ricorda, questi ragazzi hanno enormi infrastrutture a loro disposizione, quindi ci sono molti modi in cui questo può andare giù. Ecco i più comuni:

  • Buco nero attivato in remoto – Suona molto come qualcosa di un film di fantascienza, ma RTBH è una cosa reale documentato da Cisco. Ci sono molti modi per farlo, ma ti darò la versione “veloce e sporca”: un ISP comunicherà con la rete da cui proviene l’attacco e gli dirà di bloccare tutto il traffico in uscita che viene lanciato nella sua direzione. È più facile bloccare il traffico in uscita che bloccare i pacchetti in arrivo. Certo, tutto dall’ISP di destinazione ora apparirà come offline per le persone che si connettono dalla fonte dell’attacco, ma porta a termine il lavoro e non richiede molti problemi. Il resto del traffico mondiale rimane inalterato.
  • Scrubber – Alcuni ISP di grandi dimensioni dispongono di data center pieni di apparecchiature di elaborazione in grado di analizzare i modelli di traffico per separare il traffico legittimo dal traffico DDoS. Poiché richiede molta potenza di calcolo e un’infrastruttura consolidata, gli ISP più piccoli ricorrono spesso all’esternalizzazione di questo lavoro a un’altra azienda. Il traffico sul settore interessato passa attraverso un filtro e la maggior parte dei pacchetti DDoS viene bloccata mentre il traffico legittimo è consentito. Ciò garantisce il normale funzionamento dell’ISP al costo di enormi quantità di potenza di calcolo.
  • Un po ‘di voodoo del traffico – Utilizzando un metodo noto come “traffic shaping”, l’ISP si limiterà a speronare tutto ciò che l’attacco DDoS porta con sé nel suo IP di destinazione lasciando da soli tutti gli altri nodi. Questo fondamentalmente getterà la vittima sotto l’autobus per salvare il resto della rete. È una soluzione molto brutta e spesso l’ultima che un ISP utilizzerà se la rete è in grave crisi, e necessita di un’azione rapida e decisiva per garantire la sopravvivenza dell’insieme. Pensalo come uno scenario in cui “i bisogni di molti superano i bisogni di pochi”.

Il problema con DDoS è che la sua efficacia va di pari passo con i progressi nella potenza del computer e nella disponibilità della larghezza di banda. Per combattere davvero questa minaccia, dobbiamo utilizzare metodi avanzati di modifica della rete che superano di gran lunga le capacità dell’utente domestico medio. Probabilmente è un bene che le famiglie non siano spesso bersagli diretti di DDoS!

A proposito, se vuoi vedere dove si verificano questi attacchi in tempo reale, dai un’occhiata al Mappa di attacco digitale.

Sei mai caduto vittima di questo tipo di attacchi a casa tua o sul posto di lavoro? Raccontaci la tua storia in un commento!

Join our Newsletter and receive offers and updates! ✅

0 0 votes
Article Rating
Avatar di Routech

Routech

Routech is a website that provides technology news, reviews and tips. It covers a wide range of topics including smartphones, laptops, tablets, gaming, gadgets, software, internet and more. The website is updated daily with new articles and videos, and also has a forum where users can discuss technology-related topics.

Potrebbero interessarti anche...

Subscribe
Notificami
guest
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x