DDoS nella Blogosfera

15/04/2011 | a cura di Gorla Communication

Yuri Gushin
Senior Security Specialist – EMEA
Radware

Al momento della stesura di questo documento, LiveJournal – una delle principali piattaforme blog – era bloccato da un attacco DDoS.

Secondo le statistiche elaborate dal progetto Web Hacking Incident Database (WHID) di marzo (http://projects.webappsec.org/Web-Hacking-Incident-Database) relative al secondo semestre 2010, gli attacchi DDoS sono ormai così diffusi da essere al primo posto nei grafici relativi al Web Application Risk e degli Attack Methods, mentre il downtime risulta primo nelle rilevazioni di Attack Outcome.

LiveJournal ha subìto in passato molti attacchi DDoS, per la maggior parte a causa di opinioni politiche conflittuali fra alcuni blog di LiveJournal e quelli degli hacker. Questa volta però l’attacco ha colpito contemporaneamente numerosi dei blog più popolari di LiveJournal, il che fa supporre che l’obiettivo fosse quello di bloccare l’intera infrastruttura blogging e non più singole unità.

LiveJournal ha dato notizia di questi attacchi il 31 marzo scorso, annunciando che l’attacco aveva avuto inizio il giorno 30, all’incirca alle 12.00 UTC. Ilya Dronov, Director dello Sviluppo Prodotti di SUP (proprietario di LiveJournal), nel suo blog ha reso pubbliche alcune statistiche molto interessanti relative al primo giorno degli attacchi (http://igrick.livejournal.com/):

• Tempi di risposta – ci sono volute 7 ore per mitigare l’attacco
• Caratteristiche dell’attacco:
o Il numero delle sessioni simultanee è salito a 1.2M, a fronte di 50K in tempi di pace
o Il tasso di richieste HTTP è stato dieci volte più alto del normale
o Il traffico in uscita è aumentato a 2 Gbps, contro i 400 Mbps in tempi normali
• Origine dell’attacco: un campione di 1000 indirizzi IP attaccanti ha piazzato la maggior parte delle fonti dell’attacco nella regione APAC.
• Durante l’attacco: solo il 30% delle richieste HTTP ha potuto essere servito (sia richieste lecite che collegate agli attacchi).

In un post successivo Dronov ha descritto gli attacchi partiti il 4 aprile ed affermato che, mentre gli attacchi di marzo consistevano principalmente in floods TCP SYN e HTTP a reti e applicazioni, quelli di aprile sono stati così pesanti che lo scopo principale non era solo quello di bloccare il sito, ma di bloccare la struttura di rete e possibilmente il link stesso. Molti report del sito hanno viaggiato avanti e indietro con gli user online.

Anche altre piattaforme blog popolari hanno sperimentato questi tipi di attacchi, ad esempio WordPress.com - che serve oltre 18 milioni di siti e 30 milioni di publisher, all’incirca il 10% di tutti i siti nel mondo – è stata oggetto di un pesante attacco DDoS iniziato il 3 marzo e che ha portato ad una condizione di denial-of-service rendendo inutilizzabili i blog di WordPress (http://techcrunch.com/2010/12/09/automattic-hits-300-million-unique-visi...).

Se si analizzano le informazioni pubblicate su questi attacchi (http://techcrunch.com/2011/03/03/wordpress-com-suffers-major-ddos-attack/, http://techcrunch.com/2011/03/04/wordpress/), si può dedurre che:

• “Questo è l’attacco più esteso e prolungato che abbiamo subìto nei nostri sei anni di storia” (Matt Mullenweg, fondatore di WordPress)
• Caratteristiche dell’attacco – Gbps multipli e decine di milioni di PPS (packets per second)
• Origine dell’attacco – per il 98% dalla Cina, ed una piccola percentuale da Giappone e Corea
• Motivazione – non necessariamente politica, probabilmente finanziaria: “Non sembra che gli attacchi siano stati motivati da ragioni politiche, ma piuttosto mirassero al business, considerato il tipo di sito colpito.” (Mullenweg)

Quanto descritto dimostra alcune esperienze comuni nel contrastare gli attacchi DDoS:
 gli attacchi multipli sono mescolati fra loro, aumentando la tensione su qualsiasi dispositivo che tenta di bloccarli
 gli attacchi si sono nel frattempo evoluti per poter meglio individuare I punti deboli di un obiettivo e far durare più a lungo la condizione Denial of Service
 vengono utilizzati i botnet, che aumentano capacità e versatilità rispetto al singolo attacco e al tempo stesso rendono più difficile la difesa basata su semplici meccanismi di filtro e di limitazioni
 le campagne durano giorni, a volte settimane, a ondate successive.

Proteggere un’infrastruttura blog non è diverso dal proteggere qualsiasi altro servizio online, tuttavia non è facile mitigare gli attacchi DDoS. Per farlo in modo efficace è necessario rispettare numerosi criteri:

 Tecnologia Anti-DDoS
o Mitigation performance – per contrastare un livello elevato di DDoS è necessario un hardware specializzato in grado di resistere al carico dell’ attacco, ma di consentire il passaggio del traffico lecito: per esempio, soluzioni Anti-DDoS che utilizzano motori ASIC-based per DDoS Mitigation.
o Riduzione dei tempi di reazione – si dovrebbe utilizzare la tecnologia comportamentale (NBA – Network Behavioral Analysis) in grado di distinguere in modo automatico ed accurato il traffico generato da un attacco da quello lecito, a tutti i livelli, layer-7 (HTTP) compreso.
o Blocco dei vettori di attacchi multipli – utilizzare tecnologie NBA, IPS e DoS in un’unica, singola soluzione Anti-DDoS assicura che nessun attacco venga trascurato durante una campagna di attacchi multi-vettore.

 Servizi Anti-DDoS
o Intervento di emergenza – l’utilizzo di tecnologia Anti-DDoS avanzata deve essere integrato con il supporto di security engineers di provata esperienza, esperti in DDoS attack mitigation e nell’uso della soluzione Anti-DDos prescelta. Un servizio del genere, centralizzato e 24/7 (fornito ad esempio dal vendor dell’Anti-DDoS), garantisce il fattore umano necessario a contrastare gli attacchi DDoS nel modo più efficiente possibile.

• 
• Login o registrati per inviare commenti
• 

Tags Cloud